arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ......

98
ประกาศมหาวิทยาลัยสวนดุสิต เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของมหาวิทยาลัยสวนดุสิต พ.ศ.๒๕๖๐ ตามประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่องแนวนโยบายและแนวปฏิบัติในการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ.๒๕๕๓ กาหนดให้หน่วยงานของรัฐต้อง จัดทาแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานภาครัฐเพื่อให้ การดาเนินการต่างๆ ด้วยวิธีการทางอิเล็กทรอนิกส์ของหน่วยงาน โดยอาศัยอานาจตามความในมาตรา ๕ มาตรา ๗ และมาตรา ๘ แห่งพระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ พ.ศ.๒๕๔๙ เพื่อให้การปฏิบัติงานและการบริหารงานมีความมั่นคงปลอดภัยเชื่อถือได้ ตลอดจนมีมาตรฐาน เป็นที่ยอมรับในระดับสากล มหาวิทยาลัยสวนดุสิตจึงเห็นควรกาหนดแนวนโยบายและแนวปฏิบัติในการรักษา ความมั่นคงปลอดภัยด้านสารสนเทศของมหาวิทยาลัยสวนดุสิต เพื่อเป็นเครื่องมือให้กับผู้ใช้บริการ ผู้ดูแล ระบบงาน และผู้เกี่ยวข้องกับระบบสารสนเทศ ใช้เป็นแนวทางในการดูแลรักษาความมั่นคงปลอดภัยของข้อมูล และระบบเทคโนโลยีสารสนเทศของมหาวิทยาลัย โดยความเห็นชอบของคณะอนุกรรมการธุรกรรม อิเล็กทรอนิกส์ จึงออกประกาศดังต่อไปนีข้อ ๑ ประกาศนี้เรียกว่า “ประกาศมหาวิทยาลัยสวนดุสิตเรื่อง แนวนโยบายและแนวปฏิบัติในการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศของมหาวิทยาลัยสวนดุสิต พ.ศ.๒๕๖๐” ข้อ ๒ ประกาศนี้ ให้ใช้บังคับเมื่อพ้นกาหนดเก้าสิบวัน นับแต่วันประกาศใช้ประกาศฉบับนี้ เป็นต้น ไป ข้อ ๓ ในประกาศนี“มหาวิทยาลัย” หมายถึง มหาวิทยาลัยสวนดุสิต “หน่วยงาน” หมายถึง คณะ วิทยาเขต สานัก สถาบัน ศูนย์การศึกษานอกที่ตั้ง ศูนย์การเรียน และส่วนงาน ที่เป็นหน่วยงานภายในมหาวิทยาลัยสวนดุสิต “ผู้ใช้งาน” หมายถึง บุคลากร นักศึกษา ลูกจ้าง ผู้ดูแลระบบหรือผู้ที่มหาวิทยาลัยอนุญาตให้ใช้ สินทรัพย์ของมหาวิทยาลัย

Transcript of arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ......

Page 1: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

ประกาศมหาวทยาลยสวนดสต เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

ของมหาวทยาลยสวนดสต พ.ศ.๒๕๖๐

ตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ.๒๕๕๓ ก าหนดใหหนวยงานของรฐตองจดท าแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานภาครฐเพอใหการด าเนนการตางๆ ดวยวธการทางอเลกทรอนกสของหนวยงาน โดยอาศยอ านาจตามความในมาตรา ๕ มาตรา ๗ และมาตรา ๘ แหงพระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ.๒๕๔๙

เพอใหการปฏบตงานและการบรหารงานมความมนคงปลอดภยเชอถอได ตลอดจนมมาตรฐานเปนทยอมรบในระดบสากล มหาวทยาลยสวนดสตจงเหนควรก าหนดแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของมหาวทยาลยสวนดสต เพอเปนเครองมอใหกบผใชบรการ ผดแลระบบงาน และผเกยวของกบระบบสารสนเทศ ใชเปนแนวทางในการดแลรกษาความมนคงปลอดภยของขอมลและระบบเทคโนโลยสารสนเทศของมหาวทยาลย โดยความเหนชอบของคณะอนกรรมการธรกรรมอเลกทรอนกส จงออกประกาศดงตอไปน

ขอ ๑ ประกาศนเรยกวา “ประกาศมหาวทยาลยสวนดสตเรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของมหาวทยาลยสวนดสต พ.ศ.๒๕๖๐”

ขอ ๒ ประกาศน ใหใชบงคบเมอพนก าหนดเกาสบวน นบแตวนประกาศใชประกาศฉบบน เปนตนไป

ขอ ๓ ในประกาศน “มหาวทยาลย” หมายถง มหาวทยาลยสวนดสต “หนวยงาน” หมายถง คณะ วทยาเขต ส านก สถาบน ศนยการศกษานอกทตง ศนยการเรยน

และสวนงาน ทเปนหนวยงานภายในมหาวทยาลยสวนดสต “ผใชงาน” หมายถง บคลากร นกศกษา ลกจาง ผดแลระบบหรอผทมหาวทยาลยอนญาตใหใช

สนทรพยของมหาวทยาลย

Page 2: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๒ -

“สทธของผใชงาน” หมายถง สทธจ าเพาะ สทธพเศษ และสทธอนใด ทเกยวของกบระบบสารสนเทศของมหาวทยาลยสวนดสตหรอ เพอการเขาถงเขาใชสารสนเทศและทรพยสนสารสนเทศของมหาวทยาลยสวนดสต

“สนทรพย” หมายถง เครองคอมพวเตอรของมหาวทยาลย เครอขายยอย และระบบสารสนเทศตาง ๆ ทมหาวทยาลยพฒนาขนหรอจดหาเพอใชในการด าเนนการของมหาวทยาลย

“เครองคอมพวเตอร” หมายถง อปกรณหรอชดอปกรณทเชอมการท างานเขาดวยกน โดยไดมการก าหนดค าสง ชดค าสงซงท าหนาทประมวลผลขอมลโดยอตโนมต

“หองคอมพวเตอรแมขาย” หมายถง สถานทตดตงอปกรณแมขายหรออปกรณเครอขายของมหาวทยาลยภายในมหาวทยาลย

“การเขาถงหรอควบคมการใชงานสารสนเทศ” หมายถง การเขาถงระบบสารสนเทศทไดรบการอนญาต จากการก าหนดสทธหรอไดรบมอบอ านาจในการเขาถงระบบ ในการอาน สราง ส าเนา และแกไขสารสนเทศ ทงโดยการเขาถงดวยวธการทางอเลกทรอนกสหรอวธการทางกายภาพ

“ความมนคงปลอดภยดานสารสนเทศ” หมายถง ความมนคงและความปลอดภยในบรบทของการรกษาความลบ ความเชอถอได และความพรอมใชงานของระบบสารสนเทศมหาวทยาลยสวนดสต โดยมเปาหมายเพอปกปองสนทรพยของมหาวทยาลยจากเหตการณหรอสถานการณดานความมนคงปลอดภยท ไมพงประสงค ซงอาจท าใหเกดความเสยหายตอสนทรพยของมหาวทยาลย

“เหตการณดานความมนคงปลอดภย” หมายถง กรณทระบการเกดเหตการณ สภาพใชงานการใหบรการเครอขายสารสนเทศของมหาวทยาลยสวนดสตทแสดงใหเหนความเปนไปได ทจะเกดการฝาฝนนโยบายดานความมนคงปลอดภย หรอมาตรการปองกนทลมเหลว หรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย

“สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด” หมายถง สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด ซงอาจท าใหระบบขององคกรถกบกรกหรอโจมต และความมนคงปลอดภยถกคกคาม

“เครอขายสารสนเทศมหาวทยาลยสวนดสต” หมายถง ระบบเครอขายเทคโนโลยสารสนเทศและการสอสารของมหาวทยาลยฯ โดยมวตถประสงคการเขาใชงานเพอการบรหารงาน การบรกา รวชาการการศกษาและงานวจยทเปนพนธกจของมหาวทยาลย

“ผดแลเครอขายสารสนเทศมหาวทยาลยสวนดสต” หมายถง บคลากรทไดรบมอบหมายจากมหาวทยาลยเพอปฏบตงานใหดแลบรหารจดการระบบเครอขายสารสนเทศมหาวทยาลยสวนดสตใหพรอมส าหรบการใชงานของมหาวทยาลย

“ผปฏบตงานระบบสารสนเทศ” หมายถง บคลากรทไดรบมอบหมายจากหนวยงาน เพอท าการปอนขอมล และแกไขขอมลของระบบสารสนเทศของมหาวทยาลย

“เครอขายยอย” หมายถง อปกรณตอพวงรวมถงอปกรณเครอขายทเชอมโยงเครองคอมพวเตอรภายในเครอขายสารสนเทศมหาวทยาลยสวนดสตตลอดจนถงโปรแกรมและขอมล

“ผดแลระบบเครอขายยอย” หมายถง บคลากรหรอลกจางไดรบมอบหมายจากหวหนาหนวยงาน เพอปฏบตงานใหระบบเครอขายของหนวยงานพรอมส าหรบการใชงานของมหาวทยาลย

“ผใชบรการเครอขาย” หมายถง บคคล หนวยงานทตอเชอมและรบบรการจากเครอขายสารสนเทศมหาวทยาลย

“ผบรหารระดบสงสด” หมายถง อธการบดมหาวทยาลยสวนดสต

Page 3: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๓ -

“ผบรหารเทคโนโลยสารสนเทศระดบสง” หมายถง ผทไดรบการแตงตงจากมหาวทยาลยสวนดสต ใหรบผดชอบดานเทคโนโลยสารสนเทศและการสอสารของมหาวทยาลย

“คณะกรรมการนโยบายการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร” หมายถง คณะกรรมการทไดรบการแตงตงจากมหาวทยาลยสวนดสตเพอท าหนาทในการก าหนด ตรวจสอบ ทบทวน ปรบปรงนโยบายการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร รวมทงตรวจสอบและประเมนความเสยงของระบบเทคโนโลยสารสนเทศและการสอสารของมหาวทยาลย

“ผตรวจสอบภายใน” หมายถง บคลากรภายในมหาวทยาลยทไดรบการแตงตงจากมหาวทยาลยเพอท าหนาทตรวจสอบและประเมนความเสยงดานสารสนเทศของมหาวทยาลย

“ผตรวจสอบจากภายนอก” หมายถง เปนบคคลภายนอกทมความร ความสามารถทางดานเทคโนโลยสารสนเทศทไดรบเชญเปนผตรวจสอบและประเมนความเสยงดานสารสนเทศของมหาวทยาลย

“บทลงโทษ” หมายถง บทลงโทษทมหาวทยาลยเปนผก าหนดหรอบทลงโทษตามกฎหมาย “ชอผใชงาน (Username) และรหสผาน (Password)” หมายถง ตวอกษรหรออกขระหรอตวเลข

ทใชเปนเครองมอในการตรวจสอบยนยนตวบคคล เพอควบคมการเขาถงขอมลและระบบขอมลในการรกษาความมนคงปลอดภยของขอมลและระบบเทคโนโลยสารสนเทศ

“บญชรายชอ (Account Internet)” หมายถง รายการชอผใชและรหสผานเพอน าไปใชในการพสจนยนยนตวตนเพอเขาใชงานระบบสารสนเทศนนๆ

“การพสจนยนยนตวตน (Authentication)” หมายถง ขนตอนการรกษาความปลอดภยในการเขาใชระบบ เปนขนตอนในการพสจนตวตนของผใชบรการระบบ ทวไปแลวจะเปนการพสจนโดย ใชชอ ผใช (Username) และรหสผาน (Password

“การยนยนตวบคคล (Identification)” หมายถง ขอมลทสามารถใชระบตวตน ตดตอหรอคนหาบคคลหนงบคคลใดโดยเฉพาะ หรอเปนขอมลทใชรวมกบขอมลอนเพอระบตวบคคลหนงบคคลนน โดยบคคลนนตองไดรบการอนญาต การก าหนดสทธหรอการมอบอ านาจใหผใชงานเขาถงหรอใชงานเครอขายหรอระบบสารสนเทศ ทงทางอเลกทรอนกสและทางกายภาพ รวมทงการอนญาตส าหรบบคคลภายนอก

“การเขารหสลบ (Encryption)” หมายถง การน าขอมลเขารหสลบเพอปองกนการลกลอบเขามาใชขอมล ผทสามารถเปดไฟลขอมลทเขารหสลบไวจะตองมโปรแกรมถอดรหสลบเพอใหขอมลกลบมาใชงานไดตามปกต

“การถอดรหส (Decryption)” หมายถง วธการทท าการเปลยนแปลงขอมลทไดจากการเขารหสขอมล เปนขอมลกอนทจะถกท าการเขารหส

“การเขาสระบบจากระยะไกล (Remote Access)” หมายถง การเขาถงคอมพวเตอรหรอเครอขายจากระบบเครอขายอนระยะทางไกลผานระบบอนเทอรเนต

“VPN (Virtual Private Network)” หมายถง เครอขายคอมพวเตอรเสมอนสวนตว โดยในการรบสงขอมลจรงจะท าโดยการเขารหสเฉพาะแลวรบ-สงผานเครอขายอนเทอรเนต ท าใหบคคลอนไมสามารถอานได และมองไมเหนขอมลนนไปจนถงปลายทาง

ผดแลระบบ หรอ แอดมน (System administrator)” หมายถง ผท าหนาทบรหารและจดการระบบคอมพวเตอรในองคกร โดยดแลการตดตงและบ ารงรกษาระบบปฏบตการ การตดตงฮารดแวร การตดตงและการปรบปรงซอฟตแวร สราง ออกแบบและบ ารงรกษาบญชผใช

“ตวแทนผดแลระบบ (Delegate Administrator)” หมายถง ตวแทนผดแล ทจะไดสทธเฉพาะ ในการบรหารจดการะบบสารสนเทศนน ซงสทธทไดจะไมเทยบเทา ผดแลระบบหลก

Page 4: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๔ -

“สอบนทกขอมล” หมายถง สออเลกทรอนกสทใชในการบนทกหรอจดเกบขอมล เชน CD , DVD, flash drive, external hard disk ฯลฯ

“อปกรณจดเสนทาง (Router)” หมายถง อปกรณทใชในระบบเครอขายคอมพวเตอรทท าหนาทจดเสนทางและคนหาเสนทางเพอสงขอมลตอไปยงระบบเครอขายอน

“จดหมายอเลกทรอนกส (E-mail)”หมายถง ระบบทบคคลใชในการรบสงขอความระหวางกนโดยผานเครองคอมพวเตอรและระบบเครอขายทเชอมโยงถงกน ขอมลทสงจะเปนไดทงตวอกษร ภาพถาย ภาพกราฟฟก ภาพเคลอนไหว

“บญชผใชงานจดหมายอเลกทรอนกส (E-mail Address)” หมายถง หมายเลขประจ าตวหรอรหสประจ าตวทก าหนดใหแกสมาชก ผใชหมายเลขนนๆ จะใชส าหรบสงจดหมายหรอเรยกดขอความทสงมาทางจดหมายอเลกทรอนกส

“Web Browser” หมายถง ซอฟตแวรหรอโปรแกรมคอมพวเตอรทใชในการเขาถงขอมลเและตดตอสอสารกบระบบสารสนเทศทอยในรปแบบของเวบเพจ ซงอยบนเครอขายคอมพวเตอรทชอวา World Wide Web (WWW) โปรแกรมทใชส าหรบทองอนเทอรเนต ในการเปด web page ไดแก Internet Explorer , Chrome , Firefox เปนตน

“เครอขายสงคมออนไลน (social network) ”หมายถง การทผใชงานอนเตอรเนตทเชอมโยงกบเพอน รวมไปถงเพอนของเพอนอกนบรอย ผานผใหบรการดานโซเชยลเนตเวรค (Social Network) บนอนเตอรเนต เชน Facebook, Twitter ,Skype , Line การเชอมโยงดงกลาว ท าใหเกดเครอขายขน เชน เราสามารถรจกเพอนของเพอนเราได เปนทอดๆ ตอไปเรอย ท าใหเกดสงคมเสมอนจรงขนมา

“ผ ใช งานท อยภายนอกหนวยงาน” (User Authentication for External Connections) หมายถง บคคล หรอหนวยงานทเชอมตอและรบบรการจากระบบเครอขายอนๆ แลวตองการเชอมตอระบบเขามาสระบบเครอขายของมหาวทยาลยสวนดสตผานระบบอนเทอรเนต

“การระบอปกรณระบบเครอขาย (Equipment Identification in Network)” หมายถง การก าหนดใหอปกรณคอมพวเตอรมหมายเลขประจ าเครองเพอใชในการพสจนตวตนส าหรบการเชอมตอกบระบบเครอขาย

“ หมายเลข IP Address” หมายถง หมายเลขประจ าเครองคอมพวเตอรแตละเครองในระบบเครอขายทใชโปรโตคอล TCP/IP

“แผนผงระบบเครอขาย (Network Diagram)” หมายถง แผนผงซงแสดงถงการเชอมตอของระบบเครอขายของมหาวทยาลยสวนดสต

“พอรต (Port) ”หมายถง ชองทางส าหรบเขาออกของขอมลใน Protocol TCP/IP โดยก าหนดเปนเลข ๑๖ bit เรมตงแต ๐ ถง ๖๕๕๓๕ ซงแตละพอรตจะถกก าหนดให Service ตางๆใชงานโดยมหนวยงาน Internet Assigned Numbers Authority (IANA) ท าหนาทประสานการใชงานในรปแบบสากล

“การแบงแยกเครอขาย (Segregation in Networks)” หมายถง การแบงกลมของระบบเครอขายภายในของมหาวทยาลยสวนดสตใหเปนระบบเครอขายขนาดเลกหลายๆระบบ เพอประโยชนในการบรหารจดการ

“การควบคมการเชอมตอทางเครอขาย (Network Connection Control)” หมายถง การควบคมการเชอมตอใหสอดคลองกบนโยบายและขอก าหนดการใชงานของระบบ

“ระบบตรวจจ บการบ ก ร ก IPS ( Intrusion Prevention System/ intrusion Detection System)” หมายถง ระบบทใชส าหรบตรวจจบการบกรก หรอการพยายามทจะบกรก เขาสระบบเครอขาย

Page 5: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๕ -

การจดเสนทางบนเครอขาย (Network Routing)” หมายถง การก าหนดใหระบบเครอขายใชเสนทางส าหรบสอสารจากตนทางไปถงปลายทาง

“ระบบเครอขายไรสาย (Wireless LAN Access Control)” หมายถง ระบบเครอขายทใชคลนวทย เพอเชอมโยงเครองคอมพวเตอรและอปกรณตางๆ ภายในเครอขายสารสนเทศมหาวทยาลยสวนดสต

“อปกรณกระจายสญญาณ (Access Point)” หมายถง อปกรณระบบเครอขายไรสาย ทเชอมตอระบบเครอขายของมหาวทยาลยสวนดสต และใหบรการระบบเครอขายผานคลนวทย ไปยงผใชงาน

“SSID (Service Set identifier)” หมายถง ชอของระบบเครอขายไรสายทมหาวทยาลยสวนดสตตงขน ส าหรบรองรบการเชอมตอระบบเครอขายจากผใชงาน

“ระบบอนเทอรเนต (Internet)” หมายถง ระบบเครอขายคอมพวเตอรหลายๆระบบทเชอมตอเขาดวยกนเปนระบบเครอขายขนาดใหญ

“Proxy Server” หมายถง ระบบทท าหนาท ใหบรการระบบสารสนเทศตางๆ ในระบบอนเตอรเนตแทนเครองแมขาย เพอรกษาความปลอดภยใหกบเครองแมขาย

“Firewall” หมายถง ระบบทใชส าหรบควบคมการเขาออกของขอมลทสอสารระหวางเครอขายคอมพวเตอรโดยพจารณากฎ หรอ ตวกรอง ทก าหนดไว

“การก าหนดเสนทางการเชอมตอระบบคอมพวเตอร” หมายถง การก าหนดเสนทางของการเขาออกขอมลในระบบ ใหเปนไปตามเสนทางทก าหนดไวใหเทานน

“ชองโหวระบบปฏบตการเวบเบราเซอร” หมายถง จดออนอยางหนงของระบบเวบเบราเซอรทท าใหผโจมตสามารถใชจดออนนโจมตเพอลดทอนการท างานของระบบเวบเบราเซอร

“ผดแลระบบ (System Administrator) หมายถง บคลากรทไดรบมอบหมายจากผบงคบบญชาใหมหนาทรบผดชอบดแลรกษาหรอจดการระบบคอมพวเตอรและระบบเครอขาย ซงสามารถเขาถงโปรแกรมเครอขายคอมพวเตอร เพอการจดการฐานขอมลของเครอขายคอมพวเตอร ได เชน บญชผใชระบบคอมพวเตอร (User Account) หรอบญชไปรษณยอเลกทรอนกส (Email Account) เปนตน

“การเขาใชงานทมนคงปลอดภย หมายถง การอนญาต การก าหนดสทธ หรอการมอบอ านาจใหผใชงานเขาถง หรอใชงานเครอขายหรอระบบสารสนเทศ ทงทางอเลกทรอนกสและทาง กายภาพ รวมทงการอนญาตเชนวานนส าหรบบคคลภายนอก ตลอดจนอาจก าหนดขอปฏบตเกยวกบการ เขาถงโดยมชอบเอาไวดวยกได

“โปรแกรมอรรถประโยชน หมายถง โปรแกรมทตดมาพรอมกบระบบปฏบตการวนโดว เรยกงายๆวาเปนโปรแกรมทชวยดแลระบบการท างานของวนโดวเพราะมหลากหลายประเภท เชน ประเภทการจดไฟล ปองกนไวรส บบอดไฟล ฯลฯ

“การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ ( limitation of connection time)” หมายถง การก าหนดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนส าหรบระบบสารสนเทศหรอแอพพลเคชนทมความเสยงหรอมความส าคญสง

“การควบคมการเขาถงระบบปฏบตการ” หมายถง การอนญาต การก าหนดสทธหรอการมอบอ านาจใหผใชงานเขาถง หรอใชงานเครอขาย หรอระบบสารสนเทศ ทงทางอเลกทรอนกสและทางกายภาพ รวมทงการอนญาตส าหรบบคคลภายนอก ตลอดจนก าหนดขอปฏบตเกยวกบการเขาถงโดยมชอบ

“การปองกนจากโปรแกรมชดค าสงท ไมพงประสงค (Malware)” หมายถง การปองกนสถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด ซงอาจท าใหระบบของหนวยงาน ถกบกรกหรอโจมต และความมนคงปลอดภยถกคกคาม

Page 6: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๖ -

“แนวปฏบตการส ารองขอมลและการกคน” หมายถง ขนตอนในการปฏบตเมอเกดขอผดพลาดทเกดจากการท างานของผใชงาน ความผดพลาดทเกดจากการท างานผดพลาดในระบบและความผดพลาดของฮารดแวร

“ระบบบรหารจดการเครองคอมพวเตอร ” หมายถง ระบบ Desktop Management เปนเครองมอทจะชวยแบงเบาภาระของเจาหนาท IT ในการดแลแกไขปญหาคอมพวเตอร ใหท าไดอยางรวดเรว ท าไดพรอมกนหลายๆ เครองและท าไดจากศนยกลาง

“ระบบคอมพวเตอร” หมายถง อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการท างานเขาดวยกนโดย ไดมการก าหนดค าสง ชดค าสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณท าหนาทประมวลผลขอมลโดยอตโนมต

“ระบบปฏบตการ” หมายถง ซอฟตแวรระบบ (System Software) ทท าหนาทควบคมการท างานของเครองและอปกรณ ควบคมและสงการให Hardware สามารถท างานได และท าหนาทเปนสอกลางในการเชอมการท างานระหวางผใชงานในการใชโปรแกรมประยกต (Application Software) ของผใชงานกบระบบเครองฯ อ านวยความสะดวกในการใชงาน และเพมประสทธภาพของระบบ

“ระบบสารสนเทศ (Information System )” หมายถง ระบบทมการน าคอมพวเตอรมาชวยในการรวบรวม จดเกบ หรอจดการกบขอมลขาวสารเพอใหขอมลนนกลายเปนสารสนเทศทด สามารถน าไปใชในการประกอบการตดสนใจไดในเวลาอนรวดเรวและถกตอง

“โปรแกรมประยกต หรอ ซอฟตแวรแอปพลเคชน” หมายถง โปรแกรมทมความสามารถจดการกบงานเฉพาะดาน โดยตวโปรแกรมจะเหมาะสมและใชงานไดดกบงานเฉพาะนนๆ เทานน

“ฟงกชน” หมายถง โปรแกรมยอย (subprogram) ชนดหนง ทมหนาท ค านวณหาคา เมอไดคาแลว ตองสงคานนกลบไปยง โปรแกรม หลก (main program) การสงคามาค านวณใน โปรแกรม ยอยนนม 2 แบบคอ แบบแรกเรยกวา แบบฟงกชน ซงจะสงคากลบไปยง โปรแกรมหลกไดทละคา (อกแบบหนงเรยกวา แบบ procedures ซงจะสงคาทค านวณ ไดกลบไปโปรแกรมหลกไดทละหลายคา)

“ระบบสารสนเทศ (Information System)” หมายถง ระบบทมการน าขอมลดบไปประมวลผลใหอยในรปสารสนเทศทพรอมใชงาน

“เทคโนโลยสารสนเทศ (Information Technology)” หมายถง เครองมอทท าใหสามารถพฒนาขอมลตางๆ ในระบบสารสนเทศใหอยในรปของ “สารสนเทศ” ทสามารถน าไปใชงานไดทนท

“Outsource” หมายถงการทองคกรมอบหมายงานบางสวนของตนใหกบบคคลหรอองคกรภายนอกมาด าเนนการแทน โดยผวาจางจะเปนผก าหนดและควบคมก ากบทกสวนตงแตนโยบายไปจนถงการปฏบตงานในทกๆขนตอนของผรบจาง

“รหสตนฉบบ (Source code)” หมายถงแฟมขอมลทเปนตวตนฉบบของโปรแกรมใดโปรแกรมหนง พดงาย ๆ กคอเปนโปรแกรมทเครองแปลเปนภาษาเครอง (Machine Language) เรยบรอยแลว

“Log” หมายถง การจดเกบขอมลจราจรคอมพวเตอรทสามารถแสดงถงแหลงก าเนดตนทาง ปลายทาง เสนทาง วนท เวลา ทเกยวของกบการตดตอสอสารของระบบคอมพวเตอร

“Audit Logging” หมายถง ขอมลการเขาถงเครองคอมพวเตอรแมขายทสามารถตรวจสอบการเขาใชงาน หรอการบกรก รวมไปถงขอผดพลาดของระบบปฏบตการของเครองคอมพวเตอรแมขายได

Page 7: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๗ -

ขอ ๔ การรกษาความมนคงปลอดภยดานสารสนเทศในการท าธรกรรมทางอเลกทรอนกสตามประกาศน ม ๒ สวน ดงน

(๑) นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ ตองมเนอหาอยางนอยครอบคลม ตามขอ ๕

(๒) แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ตองมเนอหาอยางนอยครอบคลม ตามขอ ๖ – ๒๒

ขอ ๕ นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ ตามประกาศน ม ๒ สวน ดงน

(๑) สวนทวาดวยการจดท านโยบาย ๑. ผบรหาร บคลากรทางดานคอมพวเตอร และผใชงานไดมสวนรวมในการจดท าขอปฏบตท

สอดคลองกบนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศของมหาวทยาลยสวนดสต ๒. นโยบายไดท าเปนลายลกษณอกษร โดยประกาศใหผใชงานทราบและสามารถเขาถงได

อยางสะดวกผานทางเวบไซตของมหาวทยาลยสวนดสต ๓. ก าหนดผรบผดชอบตามนโยบายและแนวปฏบตดงกลาวใหชดเจน ๔. ทบทวนและปรบปรงนโยบายอยางนอยปละ ๑ ครง

(๒) สวนทวาดวยรายละเอยดของนโยบาย ๑. การเขาถงหรอควบคมการใชงานสารสนเทศ มนโยบายทจะใหบรการเทคโนโลย

สารสนเทศแกผใชงานและประชาชนอยางทวถง โดยใหผใชงานและประชาชนสามารถเขาถงและใชงานระบบสารสนเทศไดอยางสะดวกและรวดเรว รวมทงมการใหความคมครองขอมลทไมพงเปดเผย

๒. มระบบสารสนเทศและระบบส ารองของสารสนเทศ มนโยบายในการบรหารจดการระบบสารสนเทศทไดมาตรฐาน โดยมการแยกประเภทและจดเกบเทคโนโลยสารสนเทศเปนหมวดหมมระบบส ารองระบบสารสนเทศและระบบคอมพวเตอรทสมบรณพรอมใชงาน รวมทงมแผนฉกเฉนในการใชงานเพอใหสามารถท างานไดอยางตอเนอง

๓. ตรวจสอบและประเมนความเสยงดานสารสนเทศ มนโยบายในมการตรวจสอบและประเมนความเสยง รวมถงก าหนดมาตรการในการควบคมความเสยงดานสารสนเทศอยางนอยปละ ๑ ครง

๔. การสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร มนโยบายในการสรางความรความเขาใจ โดยการจดท าคมอ จดฝกอบรม และเผยแพรการใชงานระบบสารสนเทศและระบบคอมพวเตอรใหแกผใชงานทงภายในและภายนอก

ขอ ๖ มขอก าหนดการเขาถงหรอควบคมการใชงานระบบสารสนเทศ (Access Control)

อยางนอย ดงน (๑) ควบคมการเขาถงขอมลและอปกรณในการประมวลผลขอมล โดยค านงถงการใชงานและ

ความมนคงปลอดภย (๒) ก าหนดกฎเกณฑเกยวกบการอนญาตใหเขาถง ตองก าหนดตามนโยบายทเกยวของกบการ

อนญาต การก าหนดสทธ หรอการมอบอ านาจของหนวยงาน (๓) ตองก าหนดเกยวกบประเภทของขอมล ล าดบความส าคญ หรอล าดบชนความลบของขอมล

รวมทงระดบชนการเขาถง เวลาทไดเขาถง และชองทางการเขาถง

Page 8: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๘ -

(๔) มขอก าหนดการใชงานตามภารกจ เ พอควบคมการเขาถงสารสนเทศ ( Business Requirements for Access Control)

ขอ ๗ บรหารจดการการเขาถงของผใชงาน (User Access Management) เพอควบคมการเขาถง

ระบบสารสนเทศเฉพาะผทไดรบอนญาตแลว และผานการฝกอบรมหลกสตรการสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ ( Information Security Awareness Training) เพอปองกนการเขาถงจากผซงไมไดรบอนญาตอยางนอย ดงน

(๑) สรางความรความเขาใจใหกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงก าหนดใหมมาตรการเชงปองกนตามความเหมาะสม

(๒) การลงทะเบยนผใชงาน (User Registration) ตองก าหนดใหมขนตอนการปฏบตส าหรบการลงทะเบยนผใชงานเมอมการอนญาตใหเขาถงระบบสารสนเทศและการตดออกจากทะเบยนของผใชงานเมอมการยกเลกเพกถอนการอนญาตดงกลาว

(๓) การบรหารจดการสทธของผใชงาน (User Management) ตองจดใหมการควบคมและจ ากดสทธเพอเขาถงและใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงน รวมถงสทธจ าเพาะ สทธพเศษ และสทธอน ๆ ทเกยวของกบการเขาถง

(๔) การบรหารจดการรหสผานส าหรบผใชงาน (User Password Management) ตองจดใหมกระบวนการบรหารจดการรหสผานส าหรบผใชงานอยางรดกม

(๕) การทบทวนสทธการ เข าถ งของผ ใช งาน (Review of User Access Rights) ตองม กระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศและปรบปรงบญชผใชงาน อยางนอย ปละ ๑ ครง หรอเมอมการเปลยนแปลงสถานภาพของผใชงาน

ขอ ๘ ก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) เพอปองกนการเขาถง

โดยไมไดรบอนญาต การเปดเผย การลวงร หรอการลกลอบท าส าเนาขอมลสารสนเทศและการลกขโมยอปกรณประมวลผลสารสนเทศ มเนอหาอยางนอย ดงน

(๑) การใชงานรหสผาน (Password Usage) ก าหนดแนวปฏบตทดส าหรบผใชงานในการก าหนดรหสผาน การใชงานรหสผาน และการเปลยนรหสผานทมคณภาพ

(๒) การปองกนอปกรณในขณะทไมมผใชงานทอปกรณ ก าหนดแนวปฏบตทเหมาะสมเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณของหนวยงานในขณะทไมมผดแล

(๓) การควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร (Clear Desk and Clear Screen Policy) ตองควบคมไมใหสนทรพยสารสนเทศ อนไดแก เอกสาร สอบนทกขอมล คอมพวเตอรหรอสารสนเทศ อยในภาวะเสยงตอการเขาถงโดยผซงไมมสทธ และตองก าหนดใหผใชงานออกจากระบบสารสนเทศเมอวางเวนจากการใชงาน

(๔) ผใชงานอาจน าการเขารหส มาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔

Page 9: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๙ -

ขอ ๙ ควบคมการเขาถงเครอขาย (Network Access Control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต อยางนอยดงน

(๑) การใชบรการเครอขาย ตองก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน

(๒) การยนยนตวบคคลส าหรบผใชงานทอยภายนอกหนวยงาน (User Authentication for External Connections) ตองก าหนดใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงานทอยภายนอกหนวยงานสามารถเขาใชงานเครอขายและระบบสารสนเทศของหนวยงานได

(๓) การระบอปกรณบนเครอขาย (Equipment Identification in Networks) ตองมวธการทสามารถระบอปกรณบนเครอขายได และใชการระบอปกรณบนเครอขายเปนการยนยน

(๔) การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration Port Protection) ตองควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบทงการเขาถงทางกายภาพและทางเครอขาย

(๕) การแบงแยกเครอขาย (Segregation in Networks) ตองท าการแบงแยกเครอขายตามกลมของบรการสารสนเทศ กลมผใชงาน และกลมของระบบสารสนเทศ

(๖) การควบคมการเชอมตอทางเครอขาย (Network Connection Control) ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางเครอขายใหสอดคลองกบแนวปฏบตการควบคมการเขาถง

(๗) การควบคมการจดเสนทางบนเครอขาย (Network Routing Control) ตองควบคมการจดเสนทางบนเครอขายเพอใหการเชอมตอของคอมพวเตอรและการสงผานหรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ

ขอ ๑๐ ควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) เพอปองกน

การเขาถงระบบปฏบตการโดยไมไดรบอนญาต อยางนอยดงน (๑) มระบบบรหารจดการเครองคอมพวเตอรทกเครองของหนวยงานและก าหนดชอผใชงาน

(Username) และรหสผาน (Password) ใหกบผใชงาน (๒) ก าหนดขนตอนปฏบตเพอการเขาใชงานทมนคงปลอดภย การเขาถงระบบปฏบตการจะตอง

ควบคมโดยวธการยนยนตวตนทมนคงปลอดภย ตองระบและยนยนตวตนของผใชงาน (User Identification and Authentication) ตองก าหนดใหผใชงานมขอมลเฉพาะเจาะจงซงสามารถระบตวตนของผใชงาน และเลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง

(๓) การบรหารจดการรหสผาน (Password Management System) ตองจดท าหรอจดใหมระบบบรหารจดการรหสผานทสามารถท างานเชงโตตอบ ( Interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ

(๔) การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities) ตองจ ากดและควบคมการใชงานโปรแกรมประเภทอรรถประโยชน เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดก าหนดไวหรอทมอยแลว

(๕) เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (Session Time-out)

Page 10: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๑๐ -

(๖) การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of Connection Time) ตองจ ากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนส าหรบระบบสารสนเทศหรอโปรแกรมทมความเสยงหรอมความส าคญสง

ขอ ๑๑ ควบคมการเขาถงโปรแกรมประยกต หรอแอพพลเคชน และสารสนเทศ (Application

and Information Access Control) โดยตองมการควบคม อยางนอยดงน (๑) การจ ากดการเขาถงสารสนเทศ (Information Access Restriction) ตองจ ากดหรอควบคม

การเขาถงหรอเขาใชงานของผใชงานและบคลากรฝายสนบสนนการเขาใชงานในการเขาถงสารสนเทศและฟงกชน (Functions) ตางๆ ของโปรแกรมประยกตหรอแอพพลเคชน ทงน โดยใหสอดคลองตามนโยบายควบคมการเขาถงสารสนเทศทไดก าหนดไว

(๒) ระบบซงไวตอการรบกวน มผลกระทบและมความส าคญสงตอหนวยงาน ตองไดรบการแยกออกจากระบบอน ๆ และมการควบคมสภาพแวดลอมของตนเองโดยเฉพาะ ใหมการควบคมอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท และการปฏบตงานจากภายนอกหนวยงาน

(๓) การควบคมอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท ตองก าหนดแนวปฏบตและมาตรการทเหมาะสมเพอปกปองสารสนเทศจากความเสยงของการใชอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท

(๔) การปฏบตงานจากภายนอกหนวยงาน ตองก าหนดแนวปฏบต แผนงานและขนตอนปฏบตเพอปรบใชสาหรบการปฏบตงานของหนวยงานจากภายนอกหนวยงาน

ขอ ๑๒ การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) (๑) ผใชงานระบบเครอขายไรสายของหนวยงาน ตองขออนญาตเปนลายลกษณอกษรและไดรบ

การพจารณาอนญาตจากผบรหารเทคโนโลยสารสนเทศระดบสงหรอผดแลระบบเครอขายสารสนเทศมหาวทยาลย ทไดรบมอบหมาย

(๒) มการก าหนดต าแหนงการวางอปกรณกระจายสญญาณ (Access point) ใหเหมาะสม (๓) มแนวปฏบตในการตงคาอปกรณกระจายสญญาณ (Access point) เพอการใชงานม ความ

ปลอดภย ขอ ๑๓ การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and

Environmental Security) (๑) มการก าหนด และจดท าแผนผงแสดงต าแหนงของพนทใชงาน พนทควบคมใหชดเจน และ

ประกาศใหรบทราบทวกน (๒) มการก าหนดสทธในการเขาถงพนทใชงาน (๓) มระบบควบคมรกษาความปลอดภยไดครอบคลมระบบงาน รวมถงวเคราะหความเสยงท

อาจจะเกดขนในสถานการณปจจบนนน ๆ อยางนอยปละ 2 ครง และน าเสนอรายงานผบรหารมหาวทยาลย (๔) มหาวทยาลยมการควบคมการเขาออกอาคารสถานท (๕) มระบบแจงเตอนเพอแจงเตอนกรณทระบบสนบสนนการท างานภายในหองท างานผดปกต

หรอหยดการท างาน

Page 11: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๑๑ -

(๖) ในการวางสายไฟ สายสอสาร และสายเคเบลอนๆ (Cabling Security) ใหค านงถงความ ปลอดภยของระบบ มาตรฐานและเปนระเบยบ

(๗) การบ ารงรกษาอปกรณ (Equipment Maintenance) ใหมการบ ารงรกษาตามมาตรฐานของ อปกรณนนๆ และค านงถงความปลอดภยของขอมลเปนส าคญ

(๘) การน าทรพยสนของหนวยงานออกนอกหนวยงาน (Removal of Property) ตองไดรบอนญาตจากหวหนาหนวยงานทเปนเจาของทรพยสนนนๆ

(๙) มการก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าอปกรณทใชงาน ภายนอกหนวยงาน (Security of Equipment off-premises)

(๑๐) มมาตรการในการท าลายอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure Disposal or Re-use of Equipment)

(๑๑) มระบบควบคมและการรกษาความมนคงปลอดภยส าหรบเอกสารระบบสารสนเทศ รวมถง การเผยแพรบนเครอขายอนเทอรเนต

ขอ ๑๔ การเขาถงเครองคอมพวเตอรแมขาย (๑) ควบคมการตดตงซอฟตแวรในระบบเครองคอมพวเตอรแมขายทใหบรการ (๒) ทบทวนการท างานของระบบสารสนเทศภายหลงจากทเปลยนแปลงระบบปฏบตการ (๓) มการก าหนดสทธเขาถงเครองคอมพวเตอรแมขายของผพฒนาซอฟตแวรจากหนวยงาน

ภายนอก (๔) มมาตรการควบคมและกระบวนการบรหารจดการชองโหวทางเทคนคของระบบสารสนเทศ (๕) บนทกเหตการณทเกยวของกบการใชงานระบบสารสนเทศ (Audit Logging) และบนทก

พฤตกรรมการใชงาน (Log) การเขาถงระบบสารสนเทศ ขอ ๑๕ การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา (๑) มการควบคมการใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา (๒) การส ารองขอมลและการกคน อยในความรบผดชอบของผใชงาน ขอ ๑๖ การบรหารจดการการเขาถงขอมลตามระดบชนความลบ (๑) มการก าหนดระดบชนความลบของขอมล วธการปฏบต และการควบคมการเขาถงขอมลแต

ละประเภทชนความลบ ทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ (๒) มการทบทวนสทธในการเขาถงขอมลของผใชงาน (๓) วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรง (๔) มมาตรการรกษาความมนคงปลอดภยของขอมลทเปนมาตรฐาน ขอ ๑๗ การควบคมการใชงานระบบจดหมายอเลกทรอนกส (E-mail) (๑) ก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสของมหาวทยาลย (๒) มการควบคมการใชงานระบบจดหมายอเลกทรอนกสตามสทธของผใชงาน (๓) ผใชงานจะตองรบผดชอบผลกระทบทเกดจากการใชงานไมถกตอง

Page 12: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๑๒ -

(๔) มหาวทยาลยขอสงวนสทธในการระงบ เปลยนแปลง หรอยกเลก การใชงาน ตามเหตอนสมควร

ขอ ๑๘ การใชงานระบบอนเทอรเนต (Internet) (๑) ก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขาใชงานระบบอนเทอรเนตทเชอมตอ

ผานระบบรกษาความปลอดภยทหนวยงานจดสรรไว (๒) การใชงานเครองคอมพวเตอร จะตองมระบบรกษาความปลอดภยเพอท าการอดชองโหว

กอนทจะท าการเชอมตอระบบอนเทอรเนตผานเวบบราวเซอรของระบบปฏบตการ (๓) ผใชงานตองเขาถงแหลงขอมลตามสทธทไดรบตามหนาทความรบผดชอบ (๔) การเผยแพรขอมลผานเครอขายอนเทอรเนตจะเปนไปตามแนวปฏบตการใชงานระบบ

อนเทอรเนต (Internet) เทานน (๕) การกระท าใดๆ บนเครอขายอนเทอรเนตทไมถกตองตาม พรบ. วาดวยการกระท าผดเกยวกบ

คอมพวเตอร ผใชงานจะตองเปนผรบผดชอบ ขอ ๑๙ การใชงานเครอขายสงคมออนไลน (Social Network) (๑) สงเสรมใหผใชงานเครอขายสงคมออนไลน มความตระหนกถงเรองความมนคงปลอดภยใน

การใชงาน (๒) ผใชงานจะตองรบผดชอบในการเผยแพรขอมล หากเกดความเสยหายทมผลกระทบตอ

มหาวทยาลยและชอเสยงของบคคลอนๆ ขอ ๒๐ การจดเกบขอมลจราจรคอมพวเตอร (Log) (๑) ก าหนดใหระบบมการจดเกบขอมลจราจรทางคอมพวเตอร (Log) และจดเกบไวอยางนอย ๙๐

วน นบตงแตการใชงานสนสดลง (๒) ขอมลจราจรทางคอมพวเตอร (Log) จะตองจดเกบไวในสอเกบขอมลทสามารถรกษาความ

ครบถวน และถกตอง (๓) มการก าหนดชนความลบในการเขาถงขอมลทจดเกบ และสามารถระบตวบคคลทเขาถงขอมล

ดงกลาวได (๔) มมาตรการในการปองกนการแกไขขอมลจราจรทางคอมพวเตอร (Log) ขอ ๒๑ จดท าระบบส ารองส าหรบระบบสารสนเทศตามแนวทาง ตอไปน (๑) มหาวทยาลยจะตองจดท าแนวทางปฏบตในการส ารองและกค นขอมลทหนวยงานนน

รบผดชอบ เปนประจ าทกป (๒) ตองพจารณาคดเลอกและจดท าระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงาน (๓) ตองจดท าแผนเตรยมความพรอมกรณฉกเฉน ในกรณทไมสามารถด าเนนการดวยวธการทาง

อเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ

Page 13: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๑๓ -

(๔) ตองมการก าหนดหนาทและความรบผดชอบของบคลากร ซงท าหนาทดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉน ในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

(๕) ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และแผนเตรยมพรอมกรณฉกเฉนอยางสม าเสมอ อยางนอยปละ ๑ ครง

(๖) มการทบทวนระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉนทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงาน เปนประจ าทกป

ขอ ๒๒ ตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยมเนอหาอยางนอย ดงน (๑) มหาวทยาลยจะตองจดท าแนวปฏบตในการบรหารความเสยงทหนวยงานนนรบผดชอบ เปน

ประจ าทกป (๒) มหาวทยาลยจะตองวเคราะห วางแผนบรหารความเสยง และจดท าแผนบรหารความเสยง

ดานเทคโนโลยสารสนเทศ (๓) ตองมการก าหนดหนาทและผรบผดชอบในการจดการความเสยง รวมถงตดตาม ควบคม และ

สรปการด าเนนงานดานบรหารความเสยงดานเทคโนโลยสารสนเทศตอมหาวทยาลย โดยหนวยงานตรวจสอบภายในของมหาวทยาลย

(๔) รายงานผลการด าเนนการตอผบรหารของหนวยงาน อยางนอยปละ ๑ ครง (๕) ตองตรวจสอบและประเมนความเสยงดานสารสนเทศ มการทบทวนระบบสารสนเทศ ระบบ

ส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉนทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงาน เปนประจ าทกป

ขอ ๒๓ ตองก าหนดความรบผดชอบทชดเจน กรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกด

ความเสยหาย หรออนตรายใด ๆ แกหนวยงานหรอผหนงผใด อนเนองมาจากความบกพรองละเลย หรอฝาฝนการปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

ทงน ใหผบรหารระดบสงสดของหนวยงาน (Chief Executive Office : CEO) เปนผรบผดชอบตอความเสยงความเสยหาย หรออนตรายทเกดขน ดงน

(๑) ระดบนโยบาย ๑. ใหผบรหารระดบสงสดของหนวยงาน (Chief Executive Office : CEO) เปนผรบผดชอบ

ในการก าหนดนโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานสารสนเทศของมหาวทยาลยสวนดสตโดยมหนาทก ากบ ดแล รบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ใหการสนบสนนและสงเสรมการด าเนนงานดานสารสนเทศอยางมประสทธภาพ

๒. ผอ านวยการส านกวทยบรการและเทคโนโลยสารสนเทศ ท าหนาทตดตาม ก ากบดแล ควบคม ตรวจสอบ และประเมนผลการด าเนนงานผรบผดชอบระดบปฏบตงาน ก ากบดแลใหมการปฏบต และด าเนนการตามประกาศ ฉบบน

(๒) ระดบปฏบตงาน ไดแก ๑. ผดแลรบผดชอบเครอขายของมหาวทยาลยสวนดสตในต าแหนง เจาหนาทวเคราะหระบบ

คอมพวเตอรรบผดชอบงานพฒนาระบบเครอขายและสารสนเทศ ก ากบดแลการฏบตงานของผปฏบตอยาง

Page 14: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- ๑๔ - ใกลชด ใหความคดเหน เสนอแนะวธการ และแนวทางแกไขปญหาจากสถานการณความเสยงของระบบฐานขอมลและสารสนเทศ วางแผนการปฏบตงาน ตดตาม การปฏบตงานตามแผนการบรหารความเสยงและตรวจสอบระบบความมนคงและความปลอดภยของฐานขอมลและสารสนเทศ พรอมรายงานผลการด าเนนการ รวมทงรบผดชอบ ดงน

๑.๑ ควบคมการเขา - ออก หองคอมพวเตอรแมขาย (Server) ตามการก าหนดสทธการเขาถง คอมพวเตอรแมขาย (Server)

๑.๒ ก ากบดแล ตรวจสอบ บ ารงรกษาอปกรณ และอปกรณเชอมโยงเครอขาย (Network) ของระบบการเชอมโยงเครอขายฐานขอมลทงหมดทใหบรการในมหาวทยาลยสวนดสตใหสามารถใชงานไดตามปกตตลอด ๒๔ ชวโมง

๑.๓ ก ากบดแล การตดตง รอถอน ตรวจสอบการเชอมโยงการสอสารผานเครอขายทางระบบ LAN, Wi-Fi, Internet, Intranet ทใหบรการในมหาวทยาลยสวนดสต

๑.๔ ก ากบดแลรกษาการท างานระบบดบเพลงอตโนมตของหองคอมพวเตอรแมขาย (Server) ใหสามารถท างานไดตลอดเวลาเมอเกดสถานการณไฟไหม

๑.๕ แกไขปญหาทเกดขนกบระบบเชอมโยงเครอขายของระบบฐานขอมลสารสนเทศ ๑.๖ รายงานผลการปฏบตงาน สถานการณทเกดขนกบระบบเครอขายและ ระบบ

ฐานขอมลและสารสนเทศ ใหแกผบงคบบญชาทราบทกเดอน ๑.๗ ก ากบดแล การตดตาม ตรวจสอบ (Monitor) การเขาใชงานและการเขาถง ระบบ

การท างานของ Server ตามสทธการเชาถงระบบ ๑.๘ ก ากบดแล การปองกนการถกเจาะระบบ และแกไขปญหาการถกเจาะเขาระบบ

ฐานขอมลจากบคคลภายนอก (Hacker) โดยไมไดรบอนญาต ๑.๙ ก ากบดแล ตรวจสอบ บ าร งรกษาอปกรณปองกนการถกเจาะระบบจาก

บคคลภายนอก (Firewall) และโปรแกรมปฏบตการทงหมดทตดตงอยในเครองคอมพวเตอรแมขาย (Server) ของระบบฐานขอมลทงหมดทใหบรการใหสามารถใชงานไดตามปกตตลอด ๒๔ ชวโมง

๑.๑๐ ก ากบดแล ตรวจสอบในการก าหนดแกไขหรอเปลยนแปลงคาตาง ๆ ของระบบ ๑.๑๑ ประสานการปฏบตงานตามแผนปองกนและแกไขปญหาระบบความมนคง

ปลอดภยของฐานขอมลและสารสนเทศจากสถานการณความไมแนนอนและภยพบต ๑.๑๒ รายงานผลการปฏบตงานตามแผนการบรหารความเสยงฯ ใหผบงคบบญชาทราบ ๑.๑๓ ท าการส ารองขอมลและเรยกคนขอมล (Backup and Recovery) ตามรอบ

ระยะเวลาทก าหนด ๑.๑๔ บรหารจดการสทธการเขาถงของผใชงาน (User Access Management) ระบบ

สารสนเทศแตละระบบของมหาวทยาลย เพอควบคมการเขาถงระบบสารสนเทศ เพอปองกนการเขาถงจากผซงไมไดรบอนญาต

๒. ผดแลระบบ จากบรษททจดจางใหดแลระบบเครอขายและคอมพวเตอร รบผดชอบ ดงน ๒.๑ แกไขปญหา อปสรรค จากสถานการณความเสยงและความเสยหายทเกดขนกบระบบ

ฐานขอมลและสารสนเทศทเกดจากการถกเจาะระบบจากบคคลภายนอก (Hack) และการถกท าลายจากโปรแกรมไวรส

๒.๒ ก าหนด แกไข หรอเปลยนแปลงคา parameter ตาง ๆ ของระบบ เครอขายและอปกรณตาง ๆ ทเชอมตอกบระบบเครอขาย

Page 15: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

- od-

b.m ?1r,!'tuAnly{fl ruul !!ncAn.lunttoia?1rJreuulu,rio{tvlJUllUdOXa uav

a1:durilfidQnrhaluo'rnqnnan'lsuon (Hacker) uavorntria (Virus)

u.< drllinurqrjn:ni uavqrJn:njrdoultr.rrniotiru (Network) lo{rsuunlirdollaqrniodrugru{o4a#.rralodtfiuinr:lulr.rrivrurduaruq?nhiatn:nlds,ruldoru]nfinaonbd drb.r (ufildqrardnior,uornr:rdoilIu{rniorirulusvin:)

:cnrn ru iufi toc, rluureu n.n. bdbo

(:ornran:ror:ti nr.il:ori nariu6u)

oBnr:l6lrariuurdua':uqdn

Page 16: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

เอกสารแนบทายประกาศ

เรอง แนวนโยบายและแนวปฎบตในการรกษาความมนคงปลอดภยทางสารสนเทศ

ของมหาวทยาลยสวนดสต พ.ศ. ๒๕๖๐

Page 17: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

สารบญ

สวนท ๑ นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ .............................................. ๑

๑. การควบคมการเขาถงและใชงานสารสนเทศ( Access control .................................. ๑

๒. การบรหารจดการการเขาถงของผใชงาน (User Access Management) ..................๑

๓. การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) ................... ๒

๔. การควบคมการเขาถงเครอขาย (Network Access Control) ................................... ๒

๕. การควบคมการเขาถงระบบปฏบตการ (Operating System Acess control) .......... ๓

๖. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (Application and Information Access Control) ..................................................... ๓

๗. การควบคมการเขาถงระบบเครอขายไรสาย .............................................................. ๔

๘. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and Environmental Security) ......................................................................................... ๔

๙. การเขาถงเครองคอมพวเตอรแมขาย ........................................................................ ๕

๑๐. การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา ............. ๕

๑๑. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ........................................ ๕

๑๒. การควบคมการใชงานระบบจดหมายอเลกทรอนกส (E-mail) ................................. ๕

๑๓. การใชงานระบบอนเทอรเนต (Internet) ................................................................ ๖

๑๔. การใชงานเครอขายสงคมออนไลน (Social Network) ........................................... ๖

๑๕. การจดเกบขอมลจราจรคอมพวเตอร (Log) ............................................................ ๖

แนวปฏบตการควบคมการเขาถงและการใชงานระบบสารสนเทศ .................................................. ๗

๑.การควบคมการเขาถงและใชงานสารสนเทศ ( Access Control) ................................ ๗

๒ การควบคมการเขาถงและใชงานสารสนเทศ (User access management) .............. ๙

๓ การก าหนดหนาทความรบผดชอบของผใชงาน ( user responsibilities) .................. ๑๑

๔.การควบคมการเขาถงเครอขาย (Network Access Control) .................................. ๑๓

๕ การควบคมการเขาถงระบบปฏบตการ ( Operating System Access Control) ...... ๑๗

Page 18: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

๖.การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (application and information access control) .................................................... ๑๙

๗ การควบคมเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา ........... ๒๓

๘. การควบคมการใชงานระบบจดหมายอเลกทรอนกส ................................................ ๒๖

๙. การจดเกบขอมลจราจรคอมพวเตอร (LOG) ........................................................... ๒๖

๑๐. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and environment security) ........................................................................................... ๒๗

๑๑. การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) .... ๓๐

๑๒. การบรหารจดการระบบคอมพวเตอรแมขาย ........................................................ ๓๑

๑๓. การใชงานระบบอนเทอรเนต ............................................................................... ๓๓

๑๔. การใชงานเครอขายสงคมออนไลน (Social Network) ......................................... ๓๔

๑๕. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ...................................... ๓๕

สวนท ๒ นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ................................................๓๗

สวนท ๓ นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร ...๔๑

สวนท ๔ นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร IT Contingency Plan) ....................................................................................................๔๗ สวนท ๕ นโยบายแผนบรหารความเสยง .........................................................................................๕๘

Page 19: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑

สวนท ๑

นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ

วตถประสงค

๑. เพอใหมแนวทางปฏบตในการรกษาความมนคงปลอดภยส าหรบการควบคมการเขาถงและการใชระบบสารสนเทศของมหาวทยาลย

๒. เพอใหผใชงานไดรบทราบแนวทางและสามารถปฏบตตามแนวทางทก าหนด โดยตระหนกถงความส าคญของมาตรการรกษาความมนคงปลอดภยใหปฏบตตามอยางเครงครด ผรบผดชอบ

๑. ส านกวทยบรการและเทคโนโลยสารสนเทศ ๒. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน

มาตรฐานการกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส นโยบาย

๑. การควบคมการเขาถงและใชงานสารสนเทศ( Access control) ๑.๑ ควบคมการเขาถงขอมลและอปกรณในการประมวลผลขอมล โดยค านงถงการใชงาน

และความมนคงปลอดภย ๑.๒ ก าหนดกฎเกณฑเกยวกบการอนญาตใหเขาถง ตองก าหนดตามนโยบายทเกยวของ

กบการอนญาต การก าหนดสทธ หรอการมอบอ านาจของหนวยงาน ๑.๓ ตองก าหนดเกยวกบประเภทของขอมล ล าดบความส าคญ หรอล าดบชนความลบ

ของขอมล รวมทงระดบชนการเขาถง เวลาทไดเขาถง และชองทางการเขาถง ๑.๔ มขอก าหนดการใชงานตามภารกจ เพอควบคมการเขาถงสารสนเทศ (Business

Requirements for Access Control) ๒. การบรหารจดการการเขาถงของผใชงาน (User Access Management)

๒.๑ สรางความรความเขาใจใหกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงก าหนดใหมมาตรการเชงปองกนตามความเหมาะสม

๒.๒ การลงทะเบยนผใชงาน (User Registration) ตองก าหนดใหมขนตอนการปฏบตส าหรบการลงทะเบยนผใชงานเมอมการอนญาตใหเขาถงระบบสารสนเทศและการตดออกจากทะเบยนของผใชงานเมอมการยกเลกเพกถอนการอนญาตดงกลาว

๒.๓ การบรหารจดการสทธของผใชงาน (User Management) ตองจดใหมการควบคมและจ ากดสทธเพอเขาถงและใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงน รวมถงสทธจ าเพาะ สทธพเศษ และสทธอน ๆ ทเกยวของกบการเขาถง

Page 20: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒

๒.๔ การบรหารจดการรหสผานส าหรบผใชงาน (User Password Management) ตองจดใหมกระบวนการบรหารจดการรหสผานส าหรบผใชงานอยางรดกม

๒.๕ การทบทวนสทธการเขาถงของผใชงาน (Review of User Access Rights) ตองม กระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศและปรบปรงบญชผใชงาน อย างนอย ปละ ๑ ครง หรอเมอมการเปลยนแปลงสถานภาพของผใชงาน

๓. การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) เพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผย การลวงร หรอการลกลอบท าส าเนาขอมลสารสนเทศ มขอปฏบตอยางนอย ดงน

๓.๑ การใชงานรหสผาน (Password Usage) ก าหนดแนวปฏบตทดส าหรบผใชงานเพอใหสามารถก าหนดรหสผาน การใชงานรหสผาน และการเปลยนรหสผานทมคณภาพ

๓.๒ การปองกนอปกรณในขณะทไมมผใชงานทอปกรณ ก าหนดแนวปฏบตทเหมาะสมเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณของหนวยงานในขณะทไมมผดแล

๓.๓ การควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร (Clear Desk and Clear Screen Policy) ตองควบคมไมใหสนทรพยสารสนเทศ อนไดแก เอกสาร สอบนทกขอมล คอมพวเตอรหรอสารสนเทศ อยในภาวะเสยงตอการเขาถงโดยผซงไมมสทธ และตองก าหนดใหผใชงานออกจากระบบสารสนเทศเมอวางเวนจากการใชงาน

๓.๔ ผใชงานอาจน าการเขารหส มาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔

๔. การควบคมการเขาถงเครอขาย (Network Access Control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาตอยางนอยดงน

๔.๑ การใชบรการเครอขาย ตองก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศได แตเพยงบรการทไดรบอนญาตใหเขาถงเทานน

๔.๒ การยนยนตวบคคลส าหรบผใชงานทอยภายนอกหนวยงาน (User Authentication for External Connections) ตองก าหนดใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงานทอยภายนอกหนวยงานสามารถเขาใชงานเครอขายและระบบสารสนเทศของหนวยงานได

๔.๓ การระบอปกรณบนเครอขาย (Equipment Identification in Networks) ตองมวธการทสามารถระบอปกรณบนเครอขายได และใชการระบอปกรณบนเครอขายเปนการยนยน

๔.๔ การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration Port Protection) ตองควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบทงการเขาถงทางกายภาพและทางเครอขาย

๔.๕ การแบงแยกเครอขาย (Segregation in Networks) ตองท าการแบงแยกเครอขายตามกลมของบรการสารสนเทศ กลมผใชงาน และกลมของระบบสารสนเทศ

Page 21: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓

๔.๖ การควบคมการเชอมตอทางเครอขาย (Network Connection Control) ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางเครอขายใหสอดคลองกบแนวปฏบตการควบคมการเขาถง

๔.๗ การควบคมการจดเสนทางบนเครอขาย (Network Routing Control) ตองควบคมการจดเสนทางบนเครอขายเพอใหการเชอมตอของคอมพวเตอรและการสงผานหรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ

๕. การควบคมการเขาถงระบบปฏบตการ (Operating System Access control) ๕.๑ มระบบบรหารจดการเครองคอมพวเตอรทกเครองของหนวยงานและก าหนดชอ

ผใชงาน (Username) และรหสผาน (Password) ใหกบผใชงาน ๕.๒ ก าหนดขนตอนปฏบตเพอการเขาใชงานทมนคงปลอดภย การเขาถงระบบปฏบตการ

จะตองควบคมโดยวธการยนยนตวตนทมนคงปลอดภย ตองระบและยนยนตวตนของผใชงาน (User Identification and Authentication) ตองก าหนดใหผใชงานมขอมลเฉพาะเจาะจงซงสามารถระบตวตนของผใชงาน และเลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง

๕.๓ การบรหารจดการรหสผาน (Password Management System) ตองจดท าหรอจดใหมระบบบรหารจดการรหสผานทสามารถท างานเชงโตตอบ (Interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ

๕.๔ การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities) ตองจ ากดและควบคมการใชงานโปรแกรมประเภทอรรถประโยชน เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดก าหนดไวหรอทมอยแลว

๕.๕ เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (Session Time-out)

๕.๖ การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of Connection Time) ตองจ ากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนส าหรบระบบสารสนเทศหรอโปรแกรมทมความเสยงหรอมความส าคญสง

๖. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (Application and Information Access Control)

๖.๑ การจ ากดการเขาถงสารสนเทศ (Information Access Restriction) ตองจ ากดหรอควบคมการเขาถงหรอเขาใชงานของผใชงานและบคลากรฝายสนบสนนการเขาใชงานในการเขาถงสารสนเทศและฟงกชน (Functions) ตางๆ ของโปรแกรมประยกตหรอแอพพลเคชน ทงน โดยใหสอดคลองตามนโยบายควบคมการเขาถงสารสนเทศทไดก าหนดไว

Page 22: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๔

๖.๒ ระบบซงไวตอการรบกวน มผลกระทบและมความส าคญสงตอหนวยงาน ตองไดรบการแยกออกจากระบบอน ๆ และมการควบคมสภาพแวดลอมของตนเองโดยเฉพาะ ใหมการควบคมอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท และการปฏบตงานจากภายนอกหนวยงาน

๖.๓ การควบคมอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท ตองก าหนดแนวปฏบตและมาตรการทเหมาะสมเพอปกปองสารสนเทศจากความเสยงของการใชอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท

๖.๔ การปฏบตงานจากภายนอกหนวยงาน ตองก าหนดแนวปฏบต แผนงานและขนตอนปฏบตเพอปรบใชสาหรบการปฏบตงานของหนวยงานจากภายนอกหนวยงาน

๗. การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control)

๗.๑ ผใชงานระบบเครอขายไรสายของหนวยงาน ตองขออนญาตเปนลายลกษณอกษรและไดรบ การพจารณาอนญาตจากผบรหารเทคโนโลยสารสนเทศระดบสงหรอผดแลระบบเครอขายสารสนเทศมหาวทยาลย ทไดรบมอบหมาย

๗ .๒ มการก าหนดต าแหนงการวางอปกรณกระจายสญญาณ (Access point) ใหเหมาะสม

๗.๓ มแนวปฏบตในการตงคาอปกรณกระจายสญญาณ (Access point) เพอการใชงานม ความปลอดภย

๘. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and Environmental Security)

๘.๑ มการก าหนด และจดท าแผนผงแสดงต าแหนงของพนทใชงาน พนทควบคมใหชดเจน และ ประกาศใหรบทราบทวกน

๘.๒ มการก าหนดสทธในการเขาถงพนทใชงาน ๘.๓ มระบบควบคมรกษาความปลอดภยไดครอบคลมระบบงาน รวมถงวเคราะหความ

เสยงท อาจจะเกดขนในสถานการณปจจบนนน ๆ อยางนอยปละ ๒ ครง และน าเสนอรายงานผบรหารมหาวทยาลย

๘.๔ มหาวทยาลยมการควบคมการเขาออกอาคารสถานท ๘.๕ มระบบแจงเตอนเพอแจงเตอนกรณทระบบสนบสนนการท างานภายในหองท างาน

ผดปกต หรอหยดการท างาน ๘.๖ ในการวางสายไฟ สายสอสาร และสายเคเบลอนๆ (Cabling Security) ใหค านงถง

ความ ปลอดภยของระบบ มาตรฐานและเปนระเบยบ ๘.๗ การบ ารงรกษาอปกรณ (Equipment Maintenance) ใหมการบ ารงรกษาตาม

มาตรฐานของ อปกรณนนๆ และค านงถงความปลอดภยของขอมลเปนส าคญ ๘.๘ การน าทรพยสนของหนวยงานออกนอกหนวยงาน (Removal of Property) ตอง

ไดรบ อนญาตจากหวหนาหนวยงานทเปนเจาของทรพยสนนนๆ

Page 23: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๕

๘.๙ มการก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าอปกรณทใชงาน ภายนอกหนวยงาน (Security of Equipment off-premises)

๘.๑๐ มมาตรการในการท าลายอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure Disposal or Re-use of Equipment)

๘.๑๑ มระบบควบคมและการรกษาความมนคงปลอดภยส าหรบเอกสารระบบสารสนเทศ รวมถง การเผยแพรบนเครอขายอนเทอรเนต

๙. การเขาถงเครองคอมพวเตอรแมขาย ๙.๑ ควบคมการตดตงซอฟตแวรในระบบเครองคอมพวเตอรแมขายทใหบรการ ๙.๒ ทบทวนการท างานของระบบสารสนเทศภายหลงจากทเปลยนแปลง

ระบบปฏบตการ ๙.๓ มการก าหนดสทธเขาถงเครองคอมพวเตอรแมขาย ของผพฒนาซอฟตแวรจาก

หนวยงาน ภายนอก ๙.๔ มมาตรการควบคมและกระบวนการบรหารจดการชองโหวทางเทคนค ของระบบ

สารสนเทศ ๙.๕ บนทกเหตการณทเกยวของกบการใชงานระบบสารสนเทศ (Audit Logging) และ

บนทก พฤตกรรมการใชงาน (Log) การเขาถงระบบสารสนเทศ

๑๐. การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา ๑๐.๑ มการควบคมการใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา ๑๐.๒ การส ารองขอมลและการกคน อยในความรบผดชอบของผใชงาน

๑๑. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ๑๑.๑ มการก าหนดระดบชนความลบของขอมล วธการปฏบต และการควบคมการเขาถงขอมลแต ละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ ๑๑.๒ มการทบทวนสทธในการเขาถงขอมลของผใชงาน ๑๑.๓ วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการ เขาถงโดยตรง ๑๑.๔ มมาตรการรกษาความมนคงปลอดภยของขอมลทเปนมาตรฐาน

๑๒. การควบคมการใชงานระบบจดหมายอเลกทรอนกส (E-mail) ๑๒.๑ ก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสของมหาวทยาลย ๑๒.๒ มการควบคมการใชงานระบบจดหมายอเลกทรอนกสตามสทธของผใชงาน ๑๒.๓ ผใชงานจะตองรบผดชอบผลกระทบทเกดจากการใชงานไมถกตอง ๑๒.๔ มหาวทยาลยขอสงวนสทธในการระงบ เปลยนแปลง หรอยกเลก การใชงาน ตามเหตอน สมควร

Page 24: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖

๑๓. การใชงานระบบอนเทอรเนต (Internet) ๑๓.๑ ก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขาใชงานระบบ

อนเทอรเนตท เชอมตอผานระบบรกษาความปลอดภยทหนวยงานจดสรรไว ๑๓.๒ การใชงานเครองคอมพวเตอร จะตองมระบบรกษาความปลอดภยเพอท าการอด

ชองโหว กอนทจะท าการเชอมตอระบบอนเทอรเนตผานเวบบราวเซอรของระบบปฏบตการ ๑๓.๓ ผใชงานตองเขาถงแหลงขอมลตามสทธทไดรบตามหนาทความรบผดชอบ ๑๓.๔ การเผยแพรขอมลผานเครอขายอนเทอรเนตจะเปนไปตามแนวปฏบตการใชงาน

ระบบ อนเทอรเนต (Internet) เทานน ๑๓.๕ การกระท าใดๆ บนเครอขายอนเทอรเนตทไมถกตองตาม พรบ.วาดวยการ

กระท าผดเกยวกบคอมพวเตอร ผใชงานจะตองเปนผรบผดชอบ

๑๔. การใชงานเครอขายสงคมออนไลน (Social Network) ๑๔.๑ สงเสรมใหผใชงานเครอขายสงคมออนไลน มความตระหนกถงเรองความมนคงปลอดภยในการ ใชงาน ๑๔.๒ ผใชงานจะตองรบผดชอบในการเผยแพรขอมล หากเกดความเสยหายทมผลกระทบตอ มหาวทยาลยและชอเสยงของบคคลอนๆ

๑๕. การจดเกบขอมลจราจรคอมพวเตอร (Log) ๑๕.๑ ก าหนดใหระบบมการจดเกบขอมลจราจรทางคอมพวเตอร (Log) และจดเกบไว

อยางนอย ๙๐ วน นบตงแตการใชงานสนสดลง ๑๕.๒ ขอมลจราจรทางคอมพวเตอร (Log) จะตองจดเกบไวในสอเกบขอมลทสามารถ

รกษาความ ครบถวน และถกตอง ๑๕.๓ มการก าหนดชนความลบในการเขาถงขอมลทจดเกบ และสามารถระบตวบคคลท

เขาถงขอมลดงกลาวได ๑๕.๔ มมาตรการในการปองกนการแกไขขอมลจราจรทางคอมพวเตอร (Log)

Page 25: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗

แนวปฏบตการควบคมการเขาถงและการใชงานระบบสารสนเทศ

แนวปฎบต

๑.การควบคมการเขาถงและใชงานสารสนเทศ ( Access Control) ๑.๑ แตละหนวยงานภายในมหาวทยาลยาจะตองมการระบหมายเลขทรพยสนตามทกอง

พสดกลางเปนผก าหนด และจดท าบญชทรพยสนของหนวยงาน ๑.๒ การก าหนดหลกเกณฑในการอนญาตการเขาถง

๑) ก าหนดเกณฑในการอนญาตใหเขาถงการใชงานสารสนเทศ ทเกยวของกบการอนญาตการก าหนดสทธ หรอการมอบอ านาจแกผใชงานแตละกลมดงน

- อานอยางเดยว - สรางขอมล - ปอนขอมล - แกไข - อนมต - ไมมสทธ

๒) ก าหนดเกณฑ ระดบสทธ มอบอ านาจ ใหเปนไปตามการบรหารจดการ การเขาถงผใชงาน (User access management) ทไดก าหนดไว

๑.๓ การก าหนดหลกเกณฑเพอการจดเกบขอมล การแบงประเภทของขอมลและการจดล าดบความส าคญหรอล าดบชนความลบของ

ขอมล ใชแนวทางตามระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ.๒๕๔๔ซงระเบยบดงกลาวเปนมาตรการทละเอยด รอบคอบ ถอวาเปนแนวทางทเหมาะสมในการจดการเอกสารอเลกทรอนกส และในการรกษาความปลอดภยของเอกสารอเลกทรอนกส โดยไดกาหนดกระบวนการและกรรมวธตอเอกสารทส าคญไว ดงน

๑) จดแบงประเภทของขอมล ออกเปน - ขอมลสารสนเทศดานบคลากร - ขอมลสารสนเทศดานนกศกษา - ขอมลสารสนเทศดานการเงน - ขอมลสารสนเทศดานการวจย - ขอมลสารสนเทศดานสงอ านวยความสะดวก

๒) การแบงระดบความส าคญของขอมล ม ๔ ระดบดงน - ขอมลส าคญมากทสด - ขอมลส าคญมาก - ขอมลส าคญปานกลาง - ขอมลส าคญนอย

Page 26: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๘

๓) การแบงระดบความลบของขอมล ม ๔ ระดบดงน - ลบทสด - ลบมาก - ลบ - ขอมลทวไป

(๑) ขอมลลบทสด คอ หากเปดเผยทงหมดหรอเพยงบางสวน จะกอใหเกดความเสยหายอยางรายแรงทสด

(๒) ขอมลลบมาก คอ หากเปดเผยทงหมด หรอบางสวน จะกอใหเกดความเสยหายอยางรายแรง

(๓) ขอมลลบ คอ หากเปดเผยทงหมด หรอบางสวน จะกอใหเกดความเสยหาย

(๔) ขอมลทวไป คอ ขอมลทสามารถเปดเผยหรอเผยแพรทวไปได ๓) การจดระดบชนการเขาถง

- ระดบผบรหาร - ระดบผดแลระบบหรอผทไดรบมอบหมาย - ระดบผปฎบตงาน - ระดบผใชงานทวไป

๔) การก าหนดเวลาทเขาถงได - ผใชงานเขาถงสารสนเทศไดตลอดเวลา โดยผานระบบพสจนตวตนกอนเขาใช

งาน - การใชงานสารสนเทศในแตละครง ก าหนดระยะเวลาใชงาน ๘ ชวโมงตอครง

๕) การก าหนดชองทางทสามารถเขาถงได - ชองทางการใชงานแบบมสาย ( Wired LAN) - ชองทางการใชงานแบบไรสาย ( Wireless LAN)

๑.๔ ขอก าหนดการใชงานตามภารกจ (Business requirements for access control) แบงการจดท าขอปฎบตเปน ๒ สวนคอ

๑) มการควบคมการเขาถงสารสนเทศ โดยใหก าหนดแนวทางการควบคมการเขาถงระบบสารสนเทศและสทธทเกยวของกบระบบสารสนเทศ แนวทางการควบคมการเขาถง โดยมการแบงระดบชนและสทธการเขาถงดงน

- ระดบผดแลระบบ มหนาทในการควบคมการเขาถงขอมลแตละประเภททงการเขาถงโดยตรง และเขาถงผานระบบงาน รวมไปถงวธการท าลายขอมล

- ระดบเจาของขอมล มหนาทตรวจสอบความเหมาะสมของสทธในการเขาถงขอมลของผใชงาน อยางนอยปละ ๑ ครง

Page 27: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๙

- ระดบผปฏบตงาน มหนาทในการบนทกขอมล ตรวจสอบขอมล ปรบปรงขอมลและรายงานขอมลตามตองการของมหาวทยาลย

- ระดบชนส าหรบผใชงานทวไป มสทธในการใชขอมลตามสทธทมหาวทยาลยมอบใหเทานน

๒) มการปรบปรงใหสอดคลองกบขอก าหนดการใชงานตามภารกจและขอก าหนดดานความมนคงปลอดภย

- ตรวจสอบและประเมนผลการใชงานระบบสารสนเทศ -เมรายงานปญหาและขอเสนอแนะการใชงานระบบสารสนเทศตอ

มหาวทยาลย อยางนอยปละ ๑ ครง - ทบทวนและปรบปรงการใชงานใหเหมาะสมกบภาระงานในปจจบน

๒ การควบคมการเขาถงและใชงานสารสนเทศ (User access management) ๒.๑ จดใหมการอบรมหลกสตรเกยวกบการสรางความตระหนกเรองความมนคง

ปลอดภยสารสนเทศดานระบบเครอขาย ดานสารสนเทศ เพอใหตระหนกถงผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณเปนประจ าทกป

๒.๒ ก าหนดขนตอนปฏบตในการลงทะเบยนผใชงาน (User registration) ผใชงานระบบสารสนเทศมทงแบบสรางใหอตโนมต และแบบตองสงค ารองผานผดแลระบบเปนรายกรณ ทงนขนอยกบบรการ โดยแบงการลงทะเบยน เปน ๒ ประเภทดงน

๑) การลงทะเบยนขอใชบรการระบบสารสนเทศพนฐานของมหาวทยาลย การลงทะเบยนขอใชบรการระบบสารสนเทศพนฐานของมหาวทยาลย ซงไดแก (การขอใชเครอขายอนเทอรเนต / Wi-Fi / ระบบทะเบยนนกศกษา/ ระบบเมล โดยมระบบบรหารจดการผ ใชจากสวนกลาง จะเปนผลงทะเบยนการใชงานระบบสารสนเทศ ผานระบบการสรางบญชรายชอ ( Account Internet) ใหอตโนมต โดยระบบจะก าหนดสทธการใชงานระบบสารสนเทศนนๆ ตามประเภทผใชงาน(End User) ซงจะมทงบคลากร นกศกษาของมหาวทยาลย ซงแตละประเภทจะไดรบสทธการใชงานทแตกตางกนไป ทงนขอมลทจะน ามาลงทะเบยน ก าหนดสทธ และการทบทวนสทธ ส าหรบผใชงานทวไปจะมาจากหนวยงานกลางทก ากบดแลขอมลบคลากรนนๆ มแนวทางการด าเนนงานดงน

- นกศกษาของมหาวทยาลย ยดตามสถานะทไดจากฐานขอมลระบบบรหารการศกษาซงอยภายใตการดแลของส านกสงเสรมวชาการและงานทะเบยน

- บคลากรของมหาวทยาลย ยดตามสถานะทไดจากฐานขอมลระบบบรหารงานบคคล ซงอยภายใตการดแลของกองบรหารงานบคคล

- บคลากรส านกกจการพเศษ ยดตามสถานะทไดจากฐานขอมลระบบงานบคลากรซงอยภายใตการดแลของส านกกจการพเศษ

- บคคลภายนอก ยดตามสถานะเจาของโครงการ ไดแจงความประสงคมา แตทงน อายการใชงานตองไมเกน ๑๘๐ วน /ครง

๒) การลงทะเบยนขอใชบรการระบบสารสนเทศตามภารกจ

Page 28: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑๐

(๑) การลงทะเบยนขอใชบรการระบบสารสนเทศตามภารกจ ส าหรบผใชงานทวไป (ไดแกการใหบรการ webhosting / Cloud Computing /บคคลภายนอกทขอใชเครอขายอนเทอรเนต) ตองมการลงทะเบยน สงค ารองขอใชบรการผานผดแลระบบ พรอมรบทราบขอพงปฏบต เปนรายกรณ

(๒) การลงทะเบยนขอใชบรการระบบสารสนเทศตามภารกจส าหรบผดแลระบบ ( Administrator) และตวแทนผดแลระบบ (Delegate Administrator) ตองมการลงทะเบยน และตองไดรบความเหนชอบจากผบงคบบญชาจากตนสงกด และจากผอ านวยการส านกวทยบรการฯ /รองผอ านวยการฯ โดยมหลกเกณฑในการอนญาต เพอใหการเขาถงและใชงานระบบสารสนเทศแตละชนดไดตามความเหมาะสมตามหนาทความรบผดชอบของแตละบคคล

๓) มการระบชอบญชผใชงานแยกกนเปนรายบคคล ไมซ าซอนกน ๔) การก าหนดชอผใชงาน (Username)

( ๑) บคลากร ก าหนดจากชอภาษาองกฤษและตามดวย อกษรสามตวแรกของนามสกล หากซ าใหใชอกษรตวทสขนมาแทน หรอจนกวาจะไมซ ากบชอผใชงานคนอน

( ๒) นกศกษา การก าหนดจากรหสนกศกษา โดยมอกษรน าดงน - ระดบปรญญาตร จะไดอกษร u น าหนา เชน u๕๙๕๖๙๙๐๐๐๓๕ - ระดบปรญญาโท จะไดอกษร g น าหนา เชน g๕๙๕๖๙๙๐๐๐๓๕ - ระดบปรญญาเอก จะไดอกษร d น าหนา เชน d๕๙๕๖๙๙๐๐๐๓๕ (๓) บคคลภายนอก (ผมางานอบรม /สมมนา) มหาวทยาลยจะมระบบในการสรางบญช

ผใชงานแบบสม โดยมรปแบบดงน - Username = อกษรน า (tp) - ตามดวยปพทธศกราช - ตามดวยเดอนทใชงาน - ตามดวยล าดบเลขท ๔ หลก เชน มาขอใชเครอขายอนเทอรเนตมหาวทยาลย เดอน พฤษภาคม ๒๕๕๙ จะได

username ดงน tp๒๕๕๙๐๕๐๐๐๑ ๒.๓ การบรการจดการสทธของผใชงาน (User Management) ตองตรวจสอบและมอบหมาย

สทธในการเขาถงทเหมาะสมตอหนาทความรบผดชอบ และ/หรอความตองการทางการศกษา ๑) ตองมกระบวนการในการมอบหมาย/ก าหนดสทธ ทงสทธจ าเพาะ สทธพเศษ และ

สทธอนๆ เพอใหการเขาถงและใชงานระบบสารสนเทศแตละชนดไดตามความเหมาะสมของแตละกลมบคคลผใชงาน

๒) ตองก าหนดระดบสทธในการเขาถงสารสนเทศทเหมาะสมตามประเภทของผใชงาน โดยมการแบงสทธผใชงานดงน คอ อานอยางเดยว/สรางขอมล/ปอนขอมล/แกไข/อนมต/ไมมสทธ

๓) ตองจดท าเอกสารแสดงถงสทธและหนาทความรบผดชอบของผใชงาน ซงตองลงนาม รบทราบดวย

๔) ตองก าหนดหลกเกณฑในการอนญาตใหเขาถงระบบสารสนเทศ และไดรบการพจารณาอนญาต จากผอ านวยส านกฯหรอผดแลระบบทไดรบมอบหมาย

Page 29: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑๑

๕) ตองท าบนทกและจดเกบขอมลการขออนมตเขาใชระบบสารสนเทศ ๒.๔ การบรหารจดการรหสผานส าหรบผใชงาน ( User password management) โดย

จดท ากระบวนการบรหารจดการรหสผานส าหรบผใชงานอยางรดกม ดงน ๑) มขนตอนปฏบตส าหรบการตงรหสผานทมความมนคงปลอดภย

(๑) ความยาวของรหสผานตองไมนอยกวา ๘ ตวอกษร (๒) รหสผานจะตองประกอบไปดวย อกษรละตนตวพมพใหญ (A ถง Z) อกษร

ละตนตวพมพ เลก (a ถง z) และตองมตวเลข (๐ ถง ๙) รวมดวย (๓) ตองไมน ารหสผานเดมทเคยใชงาน มาตงใหม

๒) ตองมชองทางส าหรบผใชงานสามารถเปลยนรหสผานไดดวยตนเอง ทงนตองมการใชงานรวมกบค าถามกนลมหรออาจจะใชเทคนคอนใดในการพสจนตวตน กอนทจะอนญาตใหเปลยนรหสผานได เพอปองกนการเจาะระบบจากบคคลอนทจะเขามา Reset Password ได

๓) ตองมรอบระยะเวลาในการเปลยนรหสผานใหม ทกๆ ๖ เดอน ๒.๕ มหลกเกณฑในการยกเลกเพกถอนการอนญาตใหเขาถงระบบสารสนเทศและการตด ออก

จากทะเบยนของผใชงาน เมอมการลาออก เปลยนต าแหนง โอน ยาย หรอสนสดการจาง เปนตน โดยมหลกเกณฑ การทบทวนสทธการเขาถงของผใชงาน (review of user access rights) ดงน

๑) การทบทวนสทธส าหรบผใชงานทวไป มหาวทยาลยมระบบบรหารจดการผใชจากสวนกลาง ทจะตรวจสอบสถานะนกศกษา/บคลากร /บคคลภายนอก โดยระบบบรหารจดการผใชจากสวนกลาง จะระงบการใชงานระบบอตโนมต โดยยดตามสถานะทไดจากหนวยงานกลางทเปนเจาของขอมล

๒) การทบทวนสทธส าหรบผดแลระบบ ( Administrator) และตวแทนผดแลระบบ(Delegate Administrator) และปรบปรงบญชชอผดแลระบบ ปละ ๑ ครง หรอเมอมการเปลยนแปลง อนเนองจากจากโอนยายหนวยงานหรอลาออก

๓ การก าหนดหนาทความรบผดชอบของผใชงาน ( user responsibilities) เพอปองกนการเขาถงโดยไมไดรบอนญาต เปดเผย ลวงร หรอลกลอบท าส าเนาขอมล

สารสนเทศ และลกขโมยอปกรณประมวลผลสารสนเทศ จงไดก าหนดขอปฏบตดงน ๓.๑ ขอก าหนดวธการใชงานรหสผาน ( Password use) ส าหรบผใชงาน ดงน

๑) ผใชงานตองตงรหสผานทยากตอการเดาโดยผอน ๒) ผใชงานไมเปดเผยรหสผานของตนเองและไมใชรหสผานของตนรวมกบผอน ๓) ผใชงานตองจดเกบรหสผานไวในสถานททมความปลอดภย ๔) ผใชงานตองเปลยนรหสผานทนท เมอทราบวารหสผานของตนอาจถกเปดเผย

หรอมผอนลวงร ๕) การตงรหสผานตองเปนไปตามขอก าหนดการบรหารจดการรหสผานส าหรบ

ผใชงาน (User password management)

Page 30: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑๒

๖) ผใชงานตองเปลยนรหสผานตามรอบระยะเวลาทก าหนด ๗) ผใชงานตองไมบนทกรหสผานหรอจดจ ารหสผานของตนเองไวในระบบ เนองจาก

มความเสยงตอความไมปลอดภย ๓.๒ การปองกนอปกรณในขณะทไมมผใชงานอปกรณ

๑) มบญชควบคมอปกรณคอมพวเตอรทใชงานเพอปองกนการสญหาย หรอการเขาถงโดยไมไดรบอนญาต

๒) สรางความตระหนกใหเกดความเขาใจในมาตรการการปองกน ๓) ก าหนดใหเครองคอมพวเตอรมการปดหนาจอหลงจากทไมมผใชงานตามระยะเวลา

ทก าหนดและตองใสรหสผานทกครงเมอตองเปดหนาจอ ๔) ตองปดอปกรณและเครองคอมพวเตอรทกครง เมอไมไดถกใชงาน หรอตองปลอย

ทง โดยไมมผดแลชวคราว ๓.๓ การควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร ( Clear desk

and clear screen policy) ๑) มมาตรการปองกนทรพยสนของมหาวทยาลย และควบคมไมใหมการทงหรอปลอย

ทรพยสนสารสนเทศทส าคญใหอยในสถานะการทปลอดภย (๑) มการควบคลมพนทหอง Data Center บรเวณลอมรอบ/การควบคมการเขา-

ออก/การจดบรเวณการเขาถงการสงผลตภณฑโดยบคคลภายนอก (๒) ไมอนญาตใหผไมมกจเขาไปในพนทหรอบรเวณทมความส าคญ เวนแตไดรบ

อนญาต (๓) จดเกบบนทกการเขา-ออก ส าหรบพนทหรอบรเวณทมความส าคญ เพอใชใน

การตรวจสอบในภายหลงเมอมความจ าเปน (๔) ผมาเยอนตองตดบตรใหเหนชดตลอดระยะเวลาทอยบรเวณพนทใชงานระบบ (๕) ลงทะเบยนและตรวจนบผลตภณฑทสงมอบโดยผขายหรอผใหบรการภายนอก

ให สอดคลองกบระเบยบพสด หรอขนตอนปฏบตส าหรบการบรหารจดการทรพยสนของมหาวทยาลย (๖) จดวางอปกรณในพนทหรอบรเวณทเหมาะสม เพอหลกเลยงการเขาถงพนทใน

หอง ทมความส าคญใหนอยทสด ๒) การปองกนตองมความสอดคลองกบเรองตางๆ ดงน

(๑) แนวทางการจดหมวดหมสารสนเทศและการจดการกบสารสนเทศ (๒) กฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดอน ๆ (๓) วฒนธรรมองคกร

๓) มการปองกนเครองคอมพวเตอร โดยใชกลไกการพสจนตวตนทเหมาะสมกอนเขาใชงาน

๔) มการก าหนดขอบเขตของการปองกน ดงน

Page 31: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑๓

(๑) ทกคนตองตระหนก และปฏบตการใดๆ ใหตองตระหนกถงความมนคงปลอดภย รวมถงการทะนบ ารง เพอปองกนทรพยสนของมหาวทยาลย

(๒) ลงชอออกจากระบบทนท เมอจ าเปนตองปลอยทงโดยไมมผดแล (๓) จดเกบขอมลส าคญในสถานททมความปลอดภย (๔) ลอคเครองคอมพวเตอร เมอไมไดใชงาน (๕) ปองกนเครองโทรสาร เมอไมมผใชงาน (๖) ปองกนตหรอบรเวณทใชในการรบสงเอกสารทางไปรษณย (๗) ปองกนไมใหผอนใชอปกรณดงตอไปนโดยไมไดรบอนญาต ไดแก เครองพมพ

กลองดจทล เครองส าเนาเอกสาร เครองสแกนเอกสาร เปนตน (๘) น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ

๕) ก าหนดมาตรการท าลายสอบนทกขอมล/ขอมลอเลกทรอนกส หรอการน าอปกรณกลบมาใชงานอกครง มขอปฏบตดงน (๑) ตองท าลายขอมลส าคญภายในอปกรณบนทกขอมลหรอสอทใชบนทกขอมล

กอนทจะก าจดอปกรณดงกลาว (๒) สอบนทกขอมลทเปนประเภทจานแมเหลกใหท าการ Format อปกรณ

ดงกลาว โดยไมสามารถเรยกคนกลบมาไดตามมาตรฐาน DOD ๕๒๒๐.๐๐ M หรอวธบดขยตามมาตรฐาน ISO/IEC ๒๗๐๐๒ : ๒๐๐๕

(๓) สอบนทกขอมลประเภท Optical Disk ท าลาย โดยวธบดขย การหก หรอ เจาะรโดยไมสามารถเรยกขอมลกลบมาไดตามมาตรฐาน ISO/IEC ๒๗๐๐๒ : ๒๐๐๕

(๔) สอบนทกขอมลขนาดเลกแบบพกพา (flash drive) ใหท าการ Format อปกรณดงกลาว โดยไมสามารถเรยกคนกลบมาไดตามมาตรฐาน DOD ๕๒๒๐.๐๐ M

(๕) มกระบวนการในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอเพอปองกนไมใหม การเขาถงขอมลส าคญนนไดตามมาตรฐาน NSA

๓.๔ ผใชงานอาจมการหสขอมล กบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ.๒๕๔๔ ตามแนวปฎบตขอ ๕(๓)

๔. การควบคมการเขาถงเครอขาย (Network Access Control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต อยางนอยดงน

๔.๑ การใชงานบรการเครอขายตองก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน

๑) ระบบสารสนเทศตองมการควบคมการเขาถงโดยระบเปน กลมของบคคล กลมของระบบเครอขายหรอบรการทอนญาตใหใชงานได

๒) ใหผใชงานแตละกลมใหสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน

Page 32: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑๔

๓) การใชงานระบบสารสนเทศตองก าหนดสทธเฉพาะการปฏบตงานในหนาททรบผดชอบและตองไดรบความเหนชอบจากผอ านวยการส านกวทยบรการและเทคโนโลยเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางนอยปละ ๑ ครง

๔) การใชงานระบบเครอขายจะตองมการลงทะเบยนการใชงาน โดยชอผใชรหสผาน และสทธการใชงาน ตามแนวปฏบตการเขาถงของผใชงานโดยมหาวทยาลย

๔.๒ การยนยนตวบคคลส าหรบผใชงานทอยภายนอกมหาวทยาลย (User Authentication for External Connections) ตองก าหนดใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงานทอยภายนอกมหาวทยาลย สามารถเขาถงบรการใชงานเครอขายและระบบสารสนเทศของมหาวทยาลยได ดงน

๑) ผใชงานทจะเขาใชงานระบบตองแสดงตวตน (Identification) ดวยชอผใชงาน (Username) และรหสผาน (Password) ทกครง

๒) ตองตรวจสอบผใชงานทกครงกอนทจะอนญาตใหเขาถงระบบขอมล โดยจะตองมวธการยนยนตวบคคล (Authentication) เพอแสดงวาเปนผใชงานตวจรง

๓) บคคลจากหนวยงานภายนอกทตองการสทธในการเขาใชงานระบบเครอขายและเครองคอมพวเตอรแมขาย (Server) ของหนวยงานจะตองท าเรองขออนญาตเปนลายลกษณอกษร เพอขออนญาตจากผบรหารเทคโนโลยสารสนเทศระดบสง

๔) การเขาสระบบจากระยะไกล ผใชงานตองแสดงหลกฐาน ระบเหตผลหรอความจ าเปนในการด าเนนงานกบหนวยงาน

๕) การเขาสระบบเครอขายภายในและระบบสารสนเทศในหนวยงานจากระยะไกลตองมการลงบนทกเขาใชงาน (Login) โดยแสดงตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตน (Authentication) ดวยการใชรหสผาน เพอตรวจสอบความถกตองของผใชงานกอนทกครง

๔.๓ มบญชอปกรณบนเครอขาย (Equipment Identification in Networks) ทใชงาน และมการยนยนการเขาถงอปกรณดงกลาว ดงน

๑) การระบอปกรณและการจดเกบขอมล (๑) ใชหมายเลข IP Address ในการระบอปกรณ โดยก าหนดเปนชวงของ

หมายเลข IP แยกตามประเภทของอปกรณ (๒) จดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบ

ขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตางๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ

(๓) จดเกบขอมล อปกรณบนเครอขายโดยระบชนดของอปกรณการใชงานและเกบบนทกในรปแบบสออเลกทรอนกส และเอกสารแลวน าไปเกบไวในตนรภย

๒) มการพสจนตวตนทกครงทใชอปกรณ ดงน (๑) ก าหนดบญชผใชและสทธการเขาถงอปกรณบนอปกรณเครอขาย (๒) ใหใชโปรแกรมประเภท terminal ในการเขาถงอปกรณ

Page 33: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑๕

(๓) ตงคาความเรวของการเขาถงตามคณลกษณะของอปกรณนน(สามารถดไดจาก คมอของอปกรณ)

(๔) เมอเขาสอปกรณแลวระบบจะใหกรอกชอผใชและรหสผาน (๕) เมอกรอกชอผใชและรหสผานทถกตองระบบจะยอมใหใชงานอปกรณตาม

สทธทไดก าหนดไว (๖) เมอกรอกชอผใชและรหสผานทไมถกตองระบบจะไมยอมใหเขาใชงาน

อปกรณ (๗) ระบบจะใหกรอกชอผใชและรหสผานไมเกน ๓ ครง มฉะนนระบบจะลอค

การเขาใชงานอปกรณ เปนเวลา ๓๐ นาท ๓) ควบคมการตดตงอปกรณเครอขายและการใชงานอยางเหมาะสม ๔) จ ากดผใชงานทสามารถเขาใชอปกรณได

๔.๔ การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration Port Protection) ตองควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตง ระบบทงการเขาถงทางกายภาพและทางเครอขาย

๑) การปรบเปลยนหรอควบการเขาถงพอรตตองการท าหนงสอขออนญาตจาก ผอ านวยการส านกวทยบรการและเทคโนโลยสารสนเทศเปนลายลกษณอกษร

๒) บนทกและควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบส าหรบการเขาถงทางกายภาพและการเขาถงทางเครอขาย

๓) ปดการใชงานหรอควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบใหใชงานไดอยางจ ากดระยะเวลาเทาทจ าเปน โดยตองไดรบการอนญาตจากผรบผดชอบเปนลายลกษณอกษร

๔.๕ การแบงแยกเครอขาย (Segregation in Networks) ตองท าการแบงแยกเครอขาย ส าหรบกลมผใชงาน โดยแบงออกเปน ๒ เครอขาย คอ เครอขายส าหรบผใชงานภายใน และเครอขายส าหรบผใชงานภายนอกและมการแบงแยกเครอขายตามแตละหนวยงานและการใชงาน (VLAN)

๔.๖ การควบคมการเชอมตอทางเครอขาย (Network Connection Control) ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางเครอขายใหสอดคลองกบแนวปฏบตการควบคมการเขาถง ดงน

๑) ตองจ ากดสทธการใชงานเพอควบคมผใชงานใหสามารถใชงานเฉพาะระบบเครอขายทไดรบอนญาตเทานน

๒) ตองจ ากดเสนทางการเขาถงระบบเครอขายทมการใชงานรวมกน ๓) ตองจ ากดการใชเสนทางบนเครอขายจากเครองคอมพวเตอรไปยงเครอง

คอมพวเตอรแมขาย เพอไมใหผใชงานสามารถใชเสนทางอน ๆ ได ๔) ระบบเครอขายทงหมดของหนวยงานทมการเชอมตอไปยงระบบเครอขายอน ๆ

ภายนอกหนวยงานตองเชอมตอผานอปกรณปองกนการบกรก รวมทงตองม ความสามารถในการตรวจจบโปรแกรมประสงคราย (Malware) ดวย

Page 34: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑๖

๕) ระบบเครอขายตองตดตงระบบตรวจจบการบกรก (Intrusion Prevention System/Intrusion Detection System) เพอตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายของหนวยงานในลกษณะทผดปกต

๖) การเขาสระบบเครอขายภายในหนวยงาน โดยผานทางระบบอนเตอรเนตจ าเปนตองมการลงบนทกเขาใชงาน (Login) โดยตองมการพสจนยนยนตวตน (Authentication) ดวยชอผใชและรหสผาน เพอตรวจสอบความถกตองของผใชงานกอนทกครง

๗) ตองปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหน IP Address ภายในของระบบเครอขายภายในของหนวยงาน

๔.๗ การควบคมการจดเสนทางบนเครอขาย (Network Routing Control) ตองควบคมการจดเสนทางบนเครอขายเพอใหการเชอมตอของคอมพวเตอรและการสงผานหรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ ดงน

๑) ควบคมไมใหมการเปดเผยแผนการใชหมายเลขเครอขาย (IP Address) ๒) ก าหนดใหมการแปลงหมายเลขเครอขาย เพอแยกเครอขายยอย ๓) ก าหนดมาตรการการบงคบใชเสนทางเครอขายสามารถเชอมเครอขายปลายทางผาน

ชองทางทก าหนดไว หรอจ ากดสทธในการใชบรการเครอขาย ๔.๘ การควบคมการเขาใชงานระบบจากภายนอก

๑) การเขาสระบบจากระยะไกล (Remote Access) สระบบสารสนเทศและเครอขายของหนวยงาน ตองมการก าหนดมาตรการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน

๒) การเขาสระบบจากระยะไกล (Remote Access) สระบบเครอขายของมหาวทยาลยตองควบคมบคคลทจะเขาสระบบขององคกรจากระยะไกลโดยก าหนดมาตรการการรกษาความปลอดภยท เพมขนจากมาตรฐานการเขาสระบบภายใน

๓) วธการใด ๆ กตามทสามารถเขาถงขอมลหรอระบบขอมลจากระยะไกลตองไดรบ การอนมตจากผอ านวยการส านกวทยบรการและเทคโนโลยสารสนเทศหรอบคคลทไดรบมอบหมายจากมหาวทยาลยกอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชตองปฏบตตาม ขอก าหนดของมหาวทยาลยในการเขาสระบบและขอมลอยางเครงครด

๔) การใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบมหาวทยาลย และตองไดรบอนมตจากผมอ านาจอยางเปนทางการ

๕) มการควบคมพอรต(Port) ทใชในการเขาสระบบอยางรดกม ๖) การอนญาตใหผใชเขาสระบบขอมลจากระยะไกลตองอยบนพนฐานของความจ าเปน

เทานน และไมควรเปดพอรตทงไวโดยไมจ าเปน ชองทางดงกลาวใหตดการเชอมตอเมอไมไดใชงานแลว

Page 35: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑๗

๕ การควบคมการเขาถงระบบปฏบตการ ( Operating System Access Control) ๕.๑) ผดแลระบบ (System Administrator) ตองตดตงโปรแกรมชวยบรหารจดการ

(Domain Control) เพอบรหารจดการเครองคอมพวเตอรทกเครองของมหาวทยาลยและก าหนดชอผใชงานและรหสผานใหกบผใชงานระบบปฏบตการของเครองคอมพวเตอรของมหาวทยาลย

๕.๒) ก าหนดขนตอนปฏบตการเขาใชงานทมนคงปลอดภย การเขาถงระบบปฏบตการจะตองควบคมโดยแสดงวธการยนยนตวตนทมนคงปลอดภย โดยมแนวทางปฏบต ดงน

๑) ตองจดไมใหระบบแสดงรายละเอยดส าคญหรอความผดพลาดตางๆ ของระบบกอนทการเขาสระบบจะเสรจสมบรณ

๒) ระบบสามารถยตการเชอมตอเครองปลายทางได เมอพบวามการพยายามคาดเดารหสผานจากเครองปลายทาง

๓) จ ากดระยะเวลาส าหรบใชในการปองกนรหสผาน ๔) จ ากดการเชอมตอโดยตรงสระบบปฏบตการผานทาง command line เนองจาก

อาจสรางความเสยหายใหกบระบบได ๕.๓) ระบและยนยนตวตนของผ ใชงาน (user identification and authentication)

ตองก าหนดใหมผใชงาน และเลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง โดยมแนวทางปฏบต ดงน

๑) มหาวทยาลยจดใหผใชงานทกคนทเปนบคลากร นกศกษา บคคลภายนอกทมาอบรมสมมนา ตองมบญชรายชอผใชงานอนประกอบดวย username และ password เปนของตนเองทกคน

๒) ผใชงานจะตองท าการพสจนตวตนทกครงกอนใชระบบเทคโนโลยสารสนเทศ เพอปองกนผไมมสทธเขาใชงานระบบเทคโนโลยสารสนเทศ หากการระบและยนยนตวตนของผใชงานมปญหา หรอเกดความผดพลาด ผใชงานตองแจงใหผดแลระบบท าการแกไขทนท

๓) บางระบบงานอนญาตใหใชชอผใชงาน และรหสผานรวมกน โดยตองขนอยกบความจ าเปนทางดานการศกษาหรองานทตองท า

๔) ผใชงานทเปนเจาของบญชผใชบรการ (Account) ตองเปนผรบผดชอบในผลตางๆ อนจะเกดขนจากการใชบญชผใชบรการ (Account) ของเครองคอมพวเตอรและระบบเครอขาย เวนแตจะพสจนไดวาผลเสยหายนนเกดจากการกระท าของผอน

๕) ผใชงานจะตองเกบรกษาบญชผใชบรการ (Account) ไวเปนความลบและหามเปดเผยตอบคคลอนหามโอนจ าหนาย หรอจายแจกใหผอน โดยไมไดรบอนญาตจากผบงคบบญชา

๖) ผใชงานจะตองลงบนทกเขา (Login) โดยใชบญชผใชบรการ (Account) ของตนเอง และท าการลงบนทกออก (Logout) ทกครง เมอสนสดการใชงานหรอหยดการใชงานชวคราว

๗) การระบและยนยนตวตนของผใชงาน สามารถใชอปกรณควบคมความปลอดภยเพมเตม ไดแก สมารทการด RFID หรอ เครองอานลายพมพนวมอ ฯลฯ

Page 36: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑๘

๕.๔) การบรหารจดการรหสผาน (password management system) มระบบบรหารจดการรหสผานทสามารถท างานเชงโตตอบ (interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ

๑) มระบบบรหารจดการรหสผาน ผานระบบเครอขายสารสนเทศของมหาวทยาลย ตองอนญาตใหผใชงานเลอกหรอเปลยนรหสผานไดดวยตนเองและมขนตอนปฏบต เพอยนยนรหสผานใหม

๒) ระบบบรหารจดการรหสผาน ตองก าหนดใหมการใชงานบญชผใชงานและรหสผานแยกเปนรายบคคล เพอใหสามารถตดตามการใชงานและก าหนดเปนความรบผดชอบของแตละคนได

๓) ระบบบรหารจดการรหสผาน ตองก าหนดใหผใชงานเลอกรหสผานทยากตอการเดาโดยผอน

๔) ระบบบรหารจดการรหสผาน ตองก าหนดใหผใชงานเปลยนรหสผานใหม ตามรอบระยะเวลาทก าหนดไว เชน ทกๆ ๖ เดอน เปนตน

๕) ระบบบรหารจดการรหสผาน ตองก าหนดใหผใชงานเปลยนรหสผานโดยทนททไดรบบญชผใชงานและท าการลอกอนเขาใชงานระบบงานเปนครงแรก

๖) ระบบบรหารจดการรหสผาน ตองไมแสดงขอมลรหสผานของผใชงานบนหนาจอในระหวางทผใชงานนนก าลงใสขอมลลอกอน ไดแก ใหแสดงเปนเครองหมายดอกจน ( * ) บนหนาจอ เปนตน

๗) ระบบบรหารจดการรหสผาน ควรปองกนรหสผานทไดมการจดเกบไว หรอทจ าเปนตองมการสงไปในเครอขาย เพอปองกนการเขาถงโดยไมไดรบอนญาต

๕.๕) การใชงานโปรแกรมอรรถประโยชน (use of system utilities) ใหจ ากดและควบคมการใชงานโปรแกรมอรรถประโยชนส าหรบโปรแกรมคอมพวเตอรทส าคญ เนองจากการใชงานโปรแกรมอรรถประโยชนบางชนดสามารถท าใหผใชหลกเลยงมาตรการปองกนทางดานความมนคงปลอดภยทางระบบได เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยท ไดก าหนดไวหรอทมอยแลวใหด าเนนการดงน

๑) จ ากดสทธการเขาถง และก าหนดสทธอยางรดกมในการอนญาตใหใชโปรแกรมอรรถประโยชน

๒) ก าหนดใหอนญาตใชงานโปรแกรมอรรถประโยชนเปนรายครงไป ๓) จดเกบโปรแกรมอรรถประโยชนไวในสอภายนอก ถาไมตองใชงานเปนประจ า ๔) มการเกบบนทกการเรยกใชงานโปรแกรมเหลาน ๕) ก าหนดใหมการถอดถอนโปรแกรมอรรถประโยชนทไมจ าเปนออกจากระบบ

Page 37: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๑๙

๕.๖) เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (Session Time-out)

๑) การยตการใชงานระบบสารสนเทศทมความเสยงหรอความส าคญสง เมอวางเวนจากการใชงานเปนเวลา ๓๐ นาท เปนอยางนอย เพอปองกนการเขาถงขอมลส าคญโดยไมไดรบอนญาต

๒) ถาไมมการใชงานระบบ ตองท าการยกเลกการใชโปรแกรมประยกตและการเชอมตอเขาสระบบโดยอตโนมต

๓) เครองปลายทางทตงอยในพนททมความเสยงสงตองมการก าหนดระยะเวลาใหท า การปดเครองโดยอตโนมตหลงจากทไมมการใชงานเปนระยะเวลาตามทก าหนด

๕.๗) การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of Connection time) ตองจ ากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนส าหรบระบบสารสนเทศ หรอโปรแกรมทมความเสยงหรอมความส าคญสง

๑) มการจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ ส าหรบระบบสารสนเทศหรอ แอพพลเคชนทมความเสยงหรอมความส าคญสง เพอใหผใชงานสามารถใชงานไดนานทส ดภายใน ระยะเวลาทก าหนดเทานน โดยมการก าหนดใหใชงานไดไมเกน ๘ ชวโมงตอการเชอมตอหนงครง

๒) ก าหนดใหใชงานไดเฉพาะในชวงเวลาการท างานของหนวยงานตามปกตเทานน ๓) การก าหนดชวงเวลาส าหรบการเชอมตอระบบเครอขายจากเครองปลายทาง จะตอง

พจารณาถงระดบความเสยงของทตงของเครองปลายทางดวย

๖.การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (application and information access control) ๖.๑ การจ ากดการเขาถงสารสนเทศ (Information Access Restriction) ตองจ ากดหรอ ควบคมการเขาถงหรอเขาใชงานของผใชงานและผสนบสนนการเขาใชงานในการเขาถงสารสนเทศและ ฟงกชน (Functions) ตาง ๆ ของโปรแกรมประยกตหรอแอพพลเคชน โดยสอดคลองตามนโยบายควบคม การเขาถงสารสนเทศทไดก าหนดไว โดยมแนวปฏบตดงน

๑) ผดแลระบบ ตองก าหนดการลงทะเบยนผใชงานใหม โดยปฏบตตามขอ ๒ เรองการควบคมการเขาถงใชงานสารสนเทศ หวขอ ๒.๒ สวนการใชงานตามความจ าเปนรวมทงขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน ตามขอ ๒.๕

๒) ผดแลระบบ ตองก าหนดสทธการใชงานระบบเทคโนโลยสารสนเทศทส าคญ โดยปฎบตตามขอ ๒.๓

๓) ขอก าหนดการใชงานตามภารกจ แบงการจดท าขอปฎบตเปน ๒ สวนคอ ๓.๑) การควบคมการเขาถงสารสนเทศ โดยก าหนดแนวทางการควบคมการ

เขาถงระบบสารสนเทศและสทธทเกยวของกบระบบสารสนเทศ แนวทางการควบคมการเขาถง โดยมการแบงระดบชนและสทธการเขาถงดงน

Page 38: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒๐

- ระดบผดแลระบบ มหนาทในการควบคมการเขาถงขอมลแตละประเภททงการเขาถงโดยตรง และเขาถงผานระบบงาน รวมไปถงวธการท าลายขอมล

- ระดบเจาของขอมล มหนาทตรวจสอบความเหมาะสมของสทธในการเขาถงขอมลของผใชงาน อยางนอยปละ ๑ ครง

- ระดบผปฏบตงาน มหนาทในการบนทกขอมล ตรวจสอบขอมล ปรบปรงขอมลและรายงานขอมลตามตองการของมหาวทยาลย

- ระดบชนส าหรบผใชงานทวไป มสทธในการใชขอมลตามสทธทมหาวทยาลยมอบใหเทานน

๓.๒) ขอก าหนดการใชงานตามภารกจและขอก าหนดดานความมนคงปลอดภย - ตองตรวจสอบและประเมนผลการใชงานระบบสารสนเทศ - มรายงานปญหาและขอเสนอแนะการใชงานระบบสารสนเทศตอ

มหาวทยาลย อยางนอยปละ ๑ ครง - ทบทวนและปรบปรงการใชงานใหเหมาะสมกบภาระงานในปจจบน

๔) ผดแลระบบ ตองก าหนดระยะเวลาในการเชอมตอระบบสารสนเทศ ทใชในการปฏบตงานระบบสารสนเทศตาง ๆ เมอผใชงานไมมการใชงานระบบสารสนเทศ เกน ๒๐ นาท ระบบจะยตการใชงาน ผใชงานตองลงบนทกการเขาใชงาน (Login) กอนเขาระบบสารสนเทศอกครง

๕) ผดแลระบบ ตองบรหารจดการสทธการใชงานระบบและรหสผานของบคลากรดงตอไปน

๕.๑) ก าหนดการเปลยนแปลงและการยกเลกรหสผาน (Password) เมอผใชงานระบบลาออก หรอพนจากต าแหนง หรอยกเลกการใชงาน

๕.๒) ก าหนดใหผใชงานไมบนทกหรอเกบรหสผาน (Password) ไวในระบบคอมพวเตอรในรปแบบทไมไดปองกนการเขาถง

๕.๓) ก าหนดชอผใชงานหรอรหสผใชงานตองไมซ ากน ๕.๔) ในกรณมความจ าเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด ผใชงานนน

จะตองไดรบความเหนชอบและอนมตจากหวหนาหนวยงาน โดยมการก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาวหรอพนจากต าแหนงและมการก าหนดสทธพเศษทไดรบวาเขาถงไดถงระดบใดไดบาง และตองก าหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต

๖) ผดแลระบบ ตองบรหารจดการการเขาถงขอมลตามประเภทชนความลบในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงวธการท าลาย ขอมลแตละประเภทชนความลบ ดงตอไปน

๖.๑) ตองควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน

๖.๒) ตองก าหนดรายชอผใชงาน (Username) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชงานขอมล ในแตละชนความลบของขอมล

๖.๓) ก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลา

Page 39: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒๑

๖.๔) การรบสงขอมลส าคญผานระบบเครอขายสาธารณะ ควรไดรบการเขารหส(Encryption) ทเปนมาตรฐานสากล เชน SSL, VPN หรอ XML Encryption เปนตน

๖.๕) ก าหนดการเปลยนรหสผาน (Password) ตามระยะเวลาทก าหนดของระดบความส าคญของขอมล

๖.๖) ก าหนดมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าสนทรพยออกนอกหนวยงาน เชน บ ารงรกษา ตรวจซอม ใหด าเนนการส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน

๗) การควบคมผใหบรการภายนอกดานเทคโนโลยสารสนเทศ (Outsourcing) (๗ .๑) การพฒนาซอฟตแวร โดยหนวยงานภายนอก (Outsourced software

development) (๑) จดใหมการควบคมโครงการพฒนาซอฟตแวร จากผใหบรการภายนอก (๒) พจารณาระบวาใครจะเปนผมสทธในทรพยสนทางปญญาส าหรบซอรสโคดใน

การพฒนาซอฟตแวรโดยผใหบรการภายนอก (๓) พจารณาก าหนดเรองการสงวนสทธทจะตรวจสอบดานคณภาพและความ

ถกตองของซอฟตแวรทจะมการพฒนาโดยผใหบรการภายนอก โดยระบไวในสญญาจางทท ากบผใหบรการภายนอกนน

(๔) ใหมการตรวจสอบโปรแกรมไมประสงคด ในซอฟตแวรตาง ๆ ทจะท าการตดตงกอนด าเนนการตดตง

(๕) หลงจากการสงมอบการพฒนาซอฟแวรจากหนวยงานภายนอก หนวยงานตองด าเนนการเปลยนรหสผานตาง ๆ

(๖) ผใหบรการภายนอก ตองไมน าขอมลทเปนความลบขององคกร ไปเปดเผยตอบคคลทไมมสวนเกยวของตองไดทราบ โดยไมไดรบอนญาตจากองคการ

(๗.๒) การรกษาความปลอดภยและและความลบของระบบงานขอมล ๗.๒.๑ ผใหบรการภายนอกตองมกระบวนการขนตอน การประเมน และการ

ควบคมความเสยง อยางนอยตามกรอบหลกการดานเทคโนโลยสารสนเทศทส าคญ ๓ ประการคอ (๑) การรกษาความปลอดภยและความลบของระบบงานและขอมล ( Security) (๒) ความถกตองเชอถอไดของระบบงานและขอมล ( integrity) (๓) ความพรอมใชของงานเทคโนโลยสารสนเทศทใหบรการ ( Availability)

๗.๒.๒.ผใหบรการภายนอกตองจดใหมการประเมน ทดสอบ และตรวจสอบผใหบรการภายนอก เพอใหมนใจวา จะไมกอใหเกดความเสยง ดานเทคโนโลยสารสนเทศ จนน ามาสชองโหว และหรอภยคกคามดานเทคโนโลยสารสนเทศทงจากภายในและภายนอก ซงอาจสงผลกระทบการการด าเนนงาน / ภาพลกษณของมหาวทยาลย ทส าคญ ๓ ประการคอ

๑) การรกษาความปลอดภยและความลบของระบบงานและขอมล ( Security) ๒) ความถกตองเชอถอไดของระบบงานและขอมล ( integrity) ๓) ความพรอมใชของงานเทคโนโลยสารสนเทศทใหบรการ ( Availability)

Page 40: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒๒

๖.๒ ระบบซงไวตอการรบกวน ทมผลกระทบและมความส าคญสงตอหนวยงานจะตอง ด าเนนการดงน

๑) แยกระบบทไวตอการรบกวนออกจากระบบงานอน ๆ ๒) มการควบคมสภาพแวดลอมของตนเอง โดยมหองปฏบตงานแยกเปนสดสวน ๓) มการก าหนดสทธใหเฉพาะผทมสทธใชระบบเทานน

๖.๓ การควบคมอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท ลงทะเบยนอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท มแนวทางปฏบตในการ

ใชงาน โดยแบงออกเปน ๒ กลม ดงน ๑) อปกรณคอมพวเตอร

๑) เครองคอมพวเตอรทมหาวทยาลยอนญาตใหผใชใชงานเปนทรพยสนของ มหาวทยาลย ดงนนผใชจงตองใชงานเครองคอมพวเตอรอยางมประสทธภาพเพองานของมหาวทยาลย

๒) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรของมหาวทยาลย ตองเปน โปรแกรมทมหาวทยาลยไดซอลขสทธมาอยางถกกฎหมาย ดงนนหามผใชคดลอกโปรแกรมตางๆ และ น าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย

๓) ไมอนญาตใหผใช ท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครอง คอมพวเตอรสวนบคคลของมหาวทยาลย

๔) การเคลอนยายหรอสงเครองคอมพวเตอรสวนบคคลตรวจซอมจะตองด าเนนการโดยเจาหนาทส านกวทยบรการฯ หรอผรบจางเหมาบ ารงรกษาเครองคอมพวเตอรและอปกรณทไดท าสญญากบมหาวทยาลยเทานน

๕) กอนการใชงานสอบนทกพกพาตาง ๆ ตองมการตรวจสอบเพอหาไวรสโดย โปรแกรมปองกนไวรส

๖) ผใชมหนาทและรบผดชอบตอการดแลรกษาความปลอดภยของเครองคอมพวเตอร

๗) ปดเครองคอมพวเตอรสวนบคคลทตนเองครอบครองใชงานอยเมอใชงานประจ าวนเสรจสน หรอเมอมการยตการใชงานเกนกวา ๑ ชวโมง

๘) ท าการลอกหนาจอเครองคอมพวเตอรหลงจากทไมไดใชงานเกนกวา ๓๐ นาท เพอปองกนบคคลอนมาใชงานทเครองคอมพวเตอร

๙) การน าเครองคอมพวเตอรมาใชกบระบบเครอขายของมหาวทยาลยตองยนยนตวตน ผานระบบกอนเขาใชงานทกครง

๒) อปกรณสอสารเคลอนท

๑) เครองคอมพวเตอรแบบพกพาและอปกรณสอสารเคลอนท จะตองยนยนตวตนกอนเขาใชงานระบบเครอขายอนเทอรเนต

๒) อนญาตใหเขาใชงานระบบไดไมเกน ๕ ชวโมง หลงจากนนระบบจะบงคบให ตองมการยนยนตวตนใหม

Page 41: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒๓

๓) ไมอนญาตใหเขาใชงานเวบไซตทไมเหมะสม หากผดแลระบบตรวจพบจะ ระงบสทธการเขาถงระบบ

๔) ไมอนญาตใหผใชงานผานอปกรณสอสารกระท าผด พ .ร.บ.วาดวยการกระท าความ ผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ และกฎหมายเทคโนโลยสารสนเทศ

๖.๔ การปฏบตงานจากภายนอกหนวยงาน ตองก าหนดใหมการควบคมการใชงานระบบทผดแลระบบไดตดตงไวในมหาวทยาลย เพอดแลรกษาความปลอดภยของระบบจากภายนอก โดยมแนวทางปฏบต ดงน

๑) ผใชระบบทกคน เมอจะเขาใชงานระบบตองผานการพสจนตวตนจากระบบของมหาวทยาลย

๒) การเขาสระบบระยะไกล (Remote Access) สระบบเครอขายของมหาวทยาลย ตองควบคมบคคลจะเขาสระบบของมหาวทยาลยจากระยะไกล โดยก าหนดมาตรการการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน

๓) วธการใด ๆ กตามทสามารถเขาถงขอมลหรอระบบขอมลจากระยะไกล ตองไดรบการอนมตจากผอ านวยการส านกวทยบรการฯ กอน และมการควบคมอยางเขมงวดกอนน ามาใช และผใชตองปฏบตตามขอก าหนดของมหาวทยาลยสวนดสต ในการเขาสระบบและขอมลอยางเครงครด

๔) การใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบมหาวทยาลยอยางเพยงพอ และตองไดรบอนมตจากผมอ านาจอยางเปนทางการ

๕) มการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม ๖) การอนญาตใหผใชเขาสระบบขอมลจากระยะไกลตองอยบนพนฐานของความ

จ าเปนเทานน และไมควรเปดพอรตทงไวโดยไมจ าเปน ชองทางดงกลาวควรตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดเมอมการรองขอทจ าเปนเทานน

๗ การควบคมเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา

๗.๑ การใชงานเครองคอมพวเตอรสวนบคคล ๑) เครองคอมพวเตอรทส านกวทยบรการและเทคโนโลยสารสนเทศอนญาตให

ผใชงานเปนทรพยสนของมหาวทยาลย ดงนนผใชงานควรใชงานเครองคอมพวเตอรอยางมประสทธภาพเพองานของมหาวทยาลย

๒) ผใชงานตองยอมรบกฎระเบยบหรอนโยบายตาง ๆ ทมหาวทยาลยก าหนดขน โดยอางวาไมวาทราบกฎระเบยบหรอนโยบายมได

๓) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอร ตองเปนโปรแกรมทส านกวทยบรการและเทคโนโลยสารสนเทศตดตงมาใหหรอหนวยงานไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนนหามผใชงานคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานอยางผดกฎหมาย หากตรวจพบวามการตดตงชดโปรแกรม เปลยนแปลงโปรแกรมหรออปกรณเครองคอมพวเตอรอนใดเพมเตมและกอใหเกดความเสยหายหรอละเมดลขสทธ ผใชงานตองเปนผรบผดชอบแตเพยงฝายเดยว

Page 42: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒๔

๔) การเคลอนยายหรอสงเครองคอมพวเตอรสวนบคคลไปตรวจซอมจะตองด าเนนการโดยเจาหนาทของส านกวทยบรการและเทคโนโลยสารสนเทศหรอผรบจางในการบ ารงรกษาเครองคอมพวเตอรและอปกรณทไดท าสญญากบมหาวทยาลยเทานน

๕) การเคลอนยายเครองคอมพวเตอรสวนบคคลไปยงจดตดตงอน ผใชงานควรโทรแจงส านกวทยบรการและเทคโนโลยสารสนเทศใหรบทราบต าแหนงการตดตงต าแหนงใหมทกครงเพอใหขอมลเปนปจจบน

๖) การเคลอนยายคอมพวเตอรแบบพกพาใหใสกระเปาส าหรบเครองคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน เชน การตกจากโตะท างาน หรอหลดมอ ฯลฯ

๗) การเคลอนยายเครองคอมพวเตอรแบบพกพา ขณะทเครองเปดใชงานอยใหท าการยกจากฐานภายใตแปนพมพ หามเคลอนยายโดยการดงหนาจอภาพขน

๘) ไมวางสอแมเหลกไวใกลหนาจอเครองคอมพวเตอร Disk Driveหรอสอบนทกทอาจกอใหเกดความเสยหายได

๙) ไมควรเกบขอมลส าคญขององคกรไวบนเครองคอมพวเตอรสวนบคคลททานใชงานอย

๑๐) ไมควรสราง Short–cut หรอปมกดงายบน Desktop ทเชอมตอไปยงขอมลส าคญของหนวยงาน

๑๑) ไมควรวางอาหารและเครองดมใกลบรเวณเครองคอมพวเตอร ๑๒) ไมวางของทบบนหนาจอและแปนพมพ ๑๓) การใชเครองคอมพวเตอรแบบพกพาเปนระยะเวลานานเกนไป ในสภาพทม

อากาศรอนจดใหปดเครองคอมพวเตอร เพอเปนการพกเครองสกระยะหนงกอนเปดใชงานใหมอกครง ๑๔) หลกเลยงการใชนวหรอของแขงกดสมผสหนาจอ LCD ใหเปนรอยขดขวน หรอ

ท าใหจอ LCD ของเครองคอมพวเตอรแบบพกพาแตกเสยหายได ๑๕) ผใชงานมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรลอคเครองขณะท

ไมไดใชงาน ไมวางเครองคอมพวเตอรทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย

๑๖) หามมใหผใชงานท าการเปลยนแปลงแกไขสวนประกอบยอย (Sub Component) ทตดตงอยภายในรวมถงแบตเตอร

๑๗) ผใชงานตองใหความรวมมอและอ านวยความสะดวกแกผดแลระบบคอมพวเตอรในการตรวจสอบระบบความปลอดภยของเครองคอมพวเตอรและเครอขาย รวมทงปฏบตตามค าแนะน าของผดแล

๑๘) ผใชงานตองไมละเมดตอผอน กลาวคอผใชงานจะตองไมอาน เขยน ลบเปลยนแปลงหรอแกไขใด ๆ ในสวนทมใชของตนโดยไมไดรบอนญาต เชน การบกรก (Hack) เขาสบญชผใชงาน (User Account) ของผอนหรอเขาใชเครองคอมพวเตอรทอยในความรบผดชอบของผอน

Page 43: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒๕

๑๙) หากผใชงานกระท าการลวงละเมด หรอไมปฏบตตามกฎระเบยบหรอนโยบายตาง ๆ ทมหาวทยาลยก าหนดขน ส านกวทยบรการและเทคโนโลยสารสนเทศในฐานะผดแลคอมพวเตอรและเครอขายของมหาวทยาลยขอสงวนสทธทจะยกเลกการใชงาน หรอระงบการเชอมตอ หรอการใชงานใด ๆ ตามความเหมาะสม

๗.๒ การควบคมการเขาถงระบบปฏบตการ ๑) ผใชงานตองก าหนดชอผใชงาน (Username) และรหสผาน (Password) ในการ

เขาใชงานระบบปฏบตการ ๒) ผใชงานไมควรอนญาตใหผอนใชชอผใชงาน (Username) และรหสผาน

(Password) ของตนในการเขาใชเครองคอมพวเตอรรวมกน ๓) ในระหวางเวลาพกกลางวนหรอเมอไมใชงานผใชงานควรลอคหนาจอดวย

โปรแกรม Screen Saver ๔) ผใชงานควรท าการบนทกออก (Logout) ออกจากเครองคอมพวเตอรทกครงเมอ

เลกใชงาน ๕) หามเปดหรอใชงานโปรแกรมประเภท Peer – to – Peer หรอโปรแกรมทมความ

เสยง เวนแตไดรบอนญาตจากผบงคบบญชาหรอส านกวทยบรการและเทคโนโลยสารสนเทศ ๖) มการก าหนดระยะเวลาการเชอมตอระบบสารสนเทศ เมอไมมการใชงานใน

ระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (Session Time - out)

๗.๓ แนวปฏบตการปองกนจากโปรแกรมชดค าสงทไมพงประสงค (Malware) ๑) ผใชงานตองท าการ Update ระบบปฏบตการ เวบบราวเซอรและโปรแกรมใชงาน

ตาง ๆ อยางสม าเสมอ เพอปดชองโหว (Vulnerability) ทเกดขนจาก Software เปนการปองกนการโจมตจากภยคกคามตาง ๆ หรอแจงเจาหนาทผดแลใหด าเนนการให

๒) ผใชงานหรอเจาหนาทผดแลควรตดตงโปรแกรมปองกนไวรส (Antivirus) ใหกบเครองคอมพวเตอร

๓) ผใชงานควรตรวจสอบหาไวรสจากสอตาง ๆ เชน Thumb Drive Data Storage หรออปกรณบนทกขอมลตาง ๆ กอนน ามาใชกบเครองคอมพวเตอร

๔) ผใชงานควรตรวจสอบไฟลทแนบมากบจดหมายอเลกทรอนกสหรอไฟลดาวนโหลดมาจากอนเทอรเนตดวยโปรแกรมปองกนไวรสกอนใชงานทกครง

๗.๔ แนวปฏบตการส ารองขอมลและการกคน ๑) ผใชงานตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอ

บนทกอน ๆ เชน CD DVD External Hard Disk เปนตน ๒) ผใชงานมหนาทเกบรกษาสอขอมลส ารอง (Backup Media) ไวในสถานทท

เหมาะสม ไมเสยงตอการรวไหลของขอมลและทดสอบการกคนขอมลส ารองไวอยางสม าเสมอ

Page 44: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒๖

๘. การควบคมการใชงานระบบจดหมายอเลกทรอนกส ๑) ตองใชจดหมายอเลกทรอนกส ของมหาวทยาลยเพอตดตองานของราชการเทานน ๒) ผใชงานมหนาทตองรกษาชอผใชงาน รหสผาน ไวเปนความลบสวนบคคล ไมควร

เปดเผยแกบคคลอน ๓) การควบคมการเขาถงระบบ ตองปฏบตตามขอปฏบตการบรหารจดการเขาถงผใชงาน

( user access management) ทไดก าหนดไวอยางเครงครด ๔) ตองก าหนดใหมการออกจากระบบอตโนมต (Auto Log Out) เมอไมมผใชงานระบบ

ตามระยะเวลาทไดก าหนดไว เพอปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกส ๕) ควรออกจากระบบ (Log Out) ทกคร ง หล งจากการใช งานระบบจดหมาย

อเลกทรอนกสเสรจสน เพอปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกส ๖) ตองไมตงคาการใชโปรแกรมชวยจ ารหสผานสวนบคคลอตโนมต (Save Password)

ของระบบจดหมายอเลกทรอนกส ๗) ผใชงานตองระมดระวงในการใชจดหมายอเลกทรอนกส เพอไมใหเกดความเสยหายตอ

มหาวทยาลยสวนดสต หรออาจเปนการละเมดสทธสรางความร าคาญตอผอน หรอผดกฎหมาย ละเมดศลธรรม และไมแสวงหาประโยชน หรออนญาตใหผอนแสวงหาผลประโยชนในเชงธรกจ จากการใชจดหมายอเลกทรอนกสผานระบบเครอขายของมหาวทยาลยสวนดสต

๘) หามไมใหผใชงาน ใชทอยจดหมายอเลกทรอนกส (e-mail Address) ของผอน เพออานรบ-สง ขอความ ยกเวนแตจะไดรบการยนยอมจากเจาของและใหถอวาเจาของจดหมายอเลกทรอนกสเปนผรบผดชอบตอการใชงานตางๆ ในจดหมายอเลกทรอนกสของตน

๙) ผใชงานตองใชทอยจดหมายอเลกทรอนกสของมหาวทยาลยสวนดสต เพอการท างานของมหาวทยาลยสวนดสตเทานน ไมน าไปใชเพอแสวงหาผลประโยชนในเชงธรกจ จากการใชจดหมายอเลกทรอนกสผานระบบเครอขายของมหาวทยาลยสวนดสต

๑๐) ผใชงานไมเปดหรอสงตอจดหมายอเลกทรอนกสหรอขอความทไดรบจากผสงทไมรจก

๑๑) ผใชงานตองลบจดหมายอเลกทรอนกสทไมตองการออกจากระบบ เพอลดปรมาณการใชพนทจดเกบขอมลเครองแมขายระบบจดหมายอเลกทรอนกส

๙. การจดเกบขอมลจราจรคอมพวเตอร (LOG) เพอใหเปนไปตาม พรบ. วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐

และเพอใหขอมลจราจรทางคอมพวเตอรมความถกตอง ไดก าหนดแนวทางปฏบตไวดงน (๑) ตองจดเกบขอมลการจราจรทางคอมพวเตอรไวในสอเกบขอมลทมนคงปลอดภยท

สามารถรกษาขอมลใหมความครบถวน ถกตอง แทจรง สามารถระบรายละเอยดเปนรายบคคลได ตามขอก าหนดของ พรบ. วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐

(๒) ใหมการบนทกขอมลการจราจรทางคอมพวเตอร อยางนอย ๙๐ วนนบตงแตการใชงานสนสดลง เพอประโยชนในการใชตรวจสอบยอนหลง

Page 45: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒๗

(๓) ตองก าหนดวธการปองกนการแกไข เปลยนแปลงขอมล และจ ากดสทธเฉพาะบคคลทเกยวของเทานน ในการเขาถงขอมลสารสนเทศทไดบนทกไว

(๔) มระบบการเกบรกษาความลบของขอมลทจดเกบ และก าหนดชนความลบในการเขาถงขอมล เพอรกษาความนาเชอถอของขอมลและไมใหผดแลระบบสามารถแกไขขอมลทเกบรกษาไว เวนแตผมหนาทเกยวของทเจาของหรอผบรหารองคการก าหนดใหเขาถงขอมลดงกลาวได เชน ผตรวจสอบระบบสารสนเทศขององคกร (IT Auditor) เปนตน

๑๐. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and

environment security) ๑๐.๑ ผดแลระบบเครอขายมหาวทยาลย

๑) ภายในมหาวทยาลยสวนดสต มการจ าแนกและก าหนดพนทของเครองแมขาย อปกรณเครองแมขายระบบเทคโนโลยสารสนเทศตางๆ อยางเหมาะสม โดยก าหนดพนทรกษาความมนคงปลอดภย ของระบบสารสนเทศและเครอขายมหาวทยาลยสวนดสต มจดประสงคในการเฝาระวงควบคมการรกษาความมนคงปลอดภย จากผทไมไดรบอนญาต รวมทงปองกนความเสยหายอนๆ ทอาจเกดขนได

๒) ก าหนดและแบงแยกบรเวณพนทใชงานระบบเทคโนโลยสารสนเทศและการสอสาร ใหชดเจนรวมทงจดท าแผนผงแสดงต าแหนงของพนทใชงาน และประกาศใหทราบทวกน โดยแบ งออกเปน พนท ท ว ไป (General Working Area) พนทท างานของผ ดแลระบบ (System Administrator Area) พนทตดตงอปกรณระบบเทคโนโลยสารสนเทศ (IT Equipment Network Area) พนทจดเกบขอมลคอมพวเตอร (Data Storage Area) งานเครอขายไรสาย (Wireless LAN Coverage Area) เปนตน

๓) ก าหนดสทธใหกบเจาหนาท ทมสทธในการเขาถงพนทใชงานระบบเทคโนโลยสารสนเทศและการสอสาร เพอปฏบตหนาทตามทไดรบมอบหมายอยางครบถวน

๔) จดท า “ทะเบยนผทมสทธเขา-ออกพนท” เพอปฏบตหนาทตามสทธและหนาททไดรบมอบหมาย

๕) ก าหนดผทมหนาทรบผดชอบการบนทกการเขา-ออกพนท โดยจดท าเปนเอกสาร “บนทกการเขา-ออกพนท

๖) จดใหมเจาหนาทท าหนาท ตรวจสอบประวตการเขา-ออกพนทเปนประจ าทกวน และใหมการปรบปรงรายการผมสทธเขา-ออกพนท ปละ ๑ ครงเปนอยางนอย

๗) บคคลภายนอกเขาตดตอตองลงชอขออนญาตการเขา-ออก ในแบบฟอรมการเขา-ออกใหถกตอง และจะตองมเจาหนาทอยกบบคคลทมาตดตอตลอดเวลา

๘) บคคลอนทไมมหนาทเกยวของขอเขาพนท ตองตรวจสอบเหตผลและความจ าเปนกอนทอนญาต

๙) ประกาศหามผไมมสวนเกยวของเขาพนท เวนแตไดรบอนญาตใหรบทราบทวกน โดยการก าหนดพนทดงกลาว แบงออกไดเปนพนทท างานทวไป (General Working Area) พนท

Page 46: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒๘

ตดตงอปกรณระบบเทคโนโลยสารสนเทศ (IT Equipment Area) และพนทจดเกบขอมลคอมพวเตอร (Data Storage Area)

๑๐.๒ กระบวนการควบคมการเขาออกหองควบคมระบบเครอขาย ผดแลหองควบคมระบบเครอขายและเจาหนาทมหาวทยาลยสวนดสต มแนวทาง

ปฏบตดงน ๑) ผดแลหองควบคมระบบเครอขาย ตองท าการก าหนดสทธสวนบคคลในการเขา

ออกหองควบคม ระบบเครอขาย โดยเฉพาะบคลากรภายในทปฏบตหนาททเกยวของ และมการบนทก “ทะเบยนผมสทธเขาออกพนท” เชน เจาหนาทปฏบตงานคอมพวเตอร (Computer Operator) เจาหนาทผดแลระบบ (System Administrator) เปนตน

๒) สทธในการเขาออกหองตางๆ ภายในหองควบคมระบบเครอขายของเจาหนาทแตละคนตองไดรบอนมตจากผอ านวยส านกวทยบรการและเทคโนโลยสารสนเทศ หรอผทไดรบมอบหมายเปนลายลกษณอกษร โดยสทธของเจาหนาทแตละคนขนอยกบหนาทการปฏบตงานภายในหองควบคมระบบเครอขาย

๓) ตองจดท าระบบเกบบนทกการเขาออก หองควบคมระบบเครอขาย ๔) กรณเจาหนาทท ไมมหนาท เกยวของประจ า มความจ าเปนตองเขาออก

หองควบคมระบบเครอขายกตองมการควบคมอยางรดกม ๕) การเขาถงหองควบคมระบบเครอขายตองมการลงบนทกตามแบบฟอรมทระบไว

ในเอกสาร “บนทกการเขาออกพนท” ๑๐.๓ แนวปฏบตการจดท าเอกสารระบสทธในการเขาถงพนท

การจดท าเอกสารระบสทธของผใช และ “หนวยงานภายนอก” ในการเขาถงพนท มดงน

๑) ก าหนดสทธผใชทมสทธผานเขาออกและชวงเวลาทมสทธในการผานเขาออกในแตละ “พนทใชงานระบบ” อยางชดเจน

๒) การเขาถงอาคารของหนวยงาน บคคลภายนอกหรอผมาตดตอ เจาหนาทรกษาความปลอดภย จะตองมการแลกบตรทใชระบตวตนของบคคลนน ๆ เชน บตรประชาชนใบอนญาตขบข เปนตน แลวท าการลงบนทกขอมลบตรในสมดบนทกและรบแบบฟอรมการเขาออกพรอมกบบตรผตดตอ (Visitor)

๓) บคคลทมาตดตอตองตดบตรผตดตอ (Visitor) ตรงจดทสามารถเหนไดชดเจนตลอดเวลาทอยในมหาวทยาลยสวนดสต

๔) เจาหนาททบคคลภายนอกเขามาตดตอ จะตองลงชออนญาตการเขาออกในแบบฟอรมการเขาออกใหถกตอง และตองอยกบบคคลทมาตดตอตลอดเวลา

๕) ผใชจะไดรบสทธใหเขาออกพนทท างานไดเฉพาะบรเวณททถกก าหนด เพอใชในการท างานเทานน

๖) หากมบคคลอนทไมใชผใชขอเขาพนท โดยมไดขอรบสทธการเขาพนทนนเปนการลวงหนาหนวยงานเจาของพนทตองตรวจสอบเหตผล และความจ า เปนกอนทจะอนญาต ทงน

Page 47: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๒๙

จะตองแสดงบตรประจ าตวทหนวยราชการออกให โดยหนวยงานเจาของพนทตองจดบนทกบคคลและการเขาออกไวเปนหลกฐานทงเปนกรณทอนญาตและไมอนญาตใหเขาพนท

๑๐.๔ การบ ารงรกษาอปกรณ (Equipment Maintenance) ๑) ใหมก าหนดการบ ารงรกษาอปกรณตามรอบระยะเวลาทแนะน าโดยผผลต ๒) ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า ๓) จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง

เพอใชใน การตรวจสอบหรอประเมนในภายหลง ๔) จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบเพอใชในการประเมน

และ ปรบปรงอปกรณดงกลาว ๕) ควบคมและสอดสองดแลการปฏบตงานของผใหบรการภายนอกทมาท าการ

บ ารง รกษาอปกรณภายในหนวยงาน ๖) จดใหมการอนมตสทธการเขาถงอปกรณทมขอมลส าคญโดยผรบจาง

ใหบรการ จาก ภายนอก (ทมาท าการบ ารงรกษาอปกรณ) เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต

๑๐.๕ การน าทรพยสนของหนวยงานออกนอกหนวยงาน (Removal of Property)

๑) ใหมการขออนญาตกอนน าอปกรณหรอทรพยสนนนออกไปใชงานนอกหนวยงาน ๒) ก าหนดผมอ านาจในการเคลอนยายหรอน าอปกรณออกนอกหนวยงาน ๓) ก าหนดระยะเวลาของการน าอปกรณออกไปใชงานนอกหนวยงาน ๔) เมอมการน าอปกรณสงคนใหตรวจสอบวาสอดคลองกบระยะเวลาทอนญาตและ

ตรวจสอบการช ารดเสยหายของอปกรณดวย ๕) บนทกขอมลการน าอปกรณของหนวยงานออกไปใชงานนอกหนวยงานเพอเอาไว

เปน หลกฐานปองกนการสญหาย รวมทงบนทกขอมลเพมเตมเมอน าอปกรณสงคน

๑๐.๖ การปองกนอปกรณทใชงานอยนอกหนวยงาน (Security of Equipment off premises)

๑) ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าอปกรณหรอ ทรพยสนของหนวยงานออกไปใชงาน

๒) ไมทงอปกรณหรอทรพยสนของหนวยงานไวโดยล าพงในทสาธารณะ ๓) เจาหนาทมความรบผดชอบดแลอปกรณหรอทรพยสนเสมอนเปนทรพยสนของ

ตนเอง

๑๐.๗ การท าลายอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure Disposal or Reuse of Equipment)

Page 48: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓๐

๑) ใหท าลายขอมลส าคญในอปกรณกอนทจะท าลายอปกรณดงกลาว ๒) มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญใน

อปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถง ขอมลส าคญนนได

๑๑. การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control)

๑) ผใชงาน ทตองการเขาถงระบบเครอขายไรสายของมหาวทยาลยสวนดสต จะตองท าการ ลงทะเบยนกบผดแลระบบ และตองไดรบพจารณาอนญาตจากผอ านวยการส านกวทยบรการและเทคโนโลยสารสนเทศอยางเปนลายลกษณอกษร

๒) ตองท าการลงทะเบยนก าหนดสทธผใชงานในการเขาถงระบบเครอขายไรสายใหเหมาะสมกบหนาทความรบผดชอบในการปฏบตงาน กอนเขาใชระบบเครอขายไรสายรวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทงนจะตองไดรบอนญาตจากผดแลระบบตามความจ าเปนในการใชงาน

๓) จะตองท าการลงทะเบยนอปกรณทกตวทใชตดตอระบบเครอขายไรสาย ๔) ตองก าหนดต าแหนงการวางอปกรณ Access Point (AP) ใหเหมาะสมเปนการ

ควบคมไมใหสญญาณของอปกรณ รวไหลออกนอกบรเวณทใชงาน เพอปองกนไมใหผโจมตสามารถรบสงสญญาณจากภายนอกอาคารหรอบรเวณขอบเขตทควบคมได

๕) เลอกใชก าลงสงใหเหมาะสมกบพนทใชงาน และควรส ารวจวาสญญาณรวไหลออกไปภายนอกหรอไม นอกจากนการใชเสาอากาศพเศษทสามารถก าหนดทศทางการแพรกระจายของสญญาณอาจชวยลดการรวไหลของสญญาณไดดขน

๖) ตองท าการเปลยนคา SSID (Service Set Identifier) ทถกก าหนดเปนคาเรมตน (Default) มาจากผผลตทนททน ามาใชงาน

๗) ผดแลระบบ ควรเปลยนคา ชอลอกอนและรหสผานส าหรบการตงคาการท างานของอปกรณไรสาย และผดแลระบบควรเลอกใชชอลอกอนและรหสผานทมความ คาดเดาไดยาก เพอปองกนการโจมตไมใหสามารถเดาหรอเจาะรหสไดโดยงาย

๘) ผดแลระบบตองก าหนดคาความปลอดภยของระบบเครอขายไรสาย ดวยการเขารหสขอมลแบบ WEB หรอ WPA ในการเขารหสขอมลระหวาง Wireless LAN Client และ AP เพอใหยากตอการดกจบจะชวยใหปลอดภยมากยงขน

๙) เลอกใชวธการควบคม MAC Address หรอ ชอผใช (Username) รหสผาน (Password) ของผใชงานทม สทธในการเขาใชงานระบบเครอขายไรสาย โดยจะอนญาตเฉพาะอปกรณทม MAC Address หรอชอผใชและรหสผานตามทก าหนดไวเทานนใหเขาใชระบบเครอขายไรสายไดอยางถกตอง

๑๐) ควรจะมการตดตงไฟรวอล (Firewall) ระหวางเครอขายไรสายกบเครอขายภายใน มหาวทยาลยสวนดสต

Page 49: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓๑

๑๑) ผดแลระบบ ควรใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสม าเสมอ เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยเกดขนในระบบเครอขายไรสาย

๑๒. การบรหารจดการระบบคอมพวเตอรแมขาย

๑๒.๑ ควบคมการตดตงซอฟตแวรในระบบเครองคอมพวเตอรแมขายทใหบรการ ๑) ก าหนดบคคลทรบผดชอบในการดแลระบบคอมพวเตอรแมขาย (Server) ในการ

ก าหนดแกไข หรอเปลยนแปลงคาตางๆ ของโปรแกรมระบบ (System Software) อยางชดเจน ๒) มขนตอนหรอวธปฏบตในการตรวจสอบระบบคอมพวเตอรแมขายและในกรณท

พบมาวา มการใชงานหรอเปลยนแปลงคาในลกษณะผดปกต จะตองน าเนนการแกไขรวมทงการมการรายงานโดยทนท

๓) เปดใชบรการ (Service) เทาทจ าเปนเทานน เชน Telnet FTP หรอ Ping เปนตน ทงนหากบรการทจ าเปนตองมความเสยงตอระบบรกษาความปลอดภยแลวตองมมาตรการเพมเตมดวย

๔) ตดตงอพเดทระบบซอฟตแวรใหเปนปจจบน เพออดชองโหวตางๆ ของโปรแกรมระบบ (System Software) อยางสม าเสมอ เชน webserver เปนตน

๕) มการทดสอบโปรแกรมระบบ (System Software) เกยวกบการรกษาความปลอดภย และ ประสทธภาพการใชงานโดยทวไป กอนตดตงและหลงจากการแกไข หรอบ ารงรกษา

๖) การตดตงและเชอมตอระบบคอมพวเตอรแมขาย จะตองด าเนนการโดยเจาหนาทส านกวทยบรการและเทคโนโลยสารสนเทศ หรอตองไดรบอนญาตจากเจาหนาทส านกวทยบรการและเทคโนโลยสารสนเทศ ใหมสทธตดตงระบบ

๗) ไมควรตดตงซอรสโคด(Source Code), คอมไพเลอร (Complier) ของระบบสารสนเทศในเครองคอมพวเตอรแมขายทใหบรการนนๆ

๘) ก าหนดใหมการจดเกบซอรสโคดและไลบรารส าหรบซอฟตแวรของระบบ สารสนเทศไวในสถานททมความมนคงปลอดภย

๙) ก าหนดใหผใชงานหรอผทเกยวของตองท าการทดสอบระบบสารสนเทศตาม จดประสงคทก าหนดไวอยางครบถวน เพยงพอ กอนด าเนนการตดตงบนเครองคอมพวเตอรแมขายท ใหบรการ

๑๐) ใหผท เกยวของตองท าการทดสอบดานความมนคงปลอดภยของระบบสารสนเทศอยางครบถวน กอนด าเนนการตดตงบนเครองใหบรการระบบสารสนเทศ

๑๒.๒ ใหมการทบทวนการท างานของระบบสารสนเทศภายหลงจากทเปลยนแปลง

ระบบปฏบตการ ๑) แจงใหผทเกยวของกบระบบสารสนเทศไดรบทราบเกยวกบการเปลยนแปลง

ระบบปฏบตการเพอใหบคคลเหลานนมเวลาเพยงพอในการด าเนนการทดสอบและทบทวนกอนทจะด าเนนการ เปลยนแปลงระบบปฏบตการ

Page 50: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓๒

๒) พจารณาวางแผนด าเนนการเปลยนแปลงระบบปฏบตการของระบบสารสนเทศ รวมทงวางแผนดานงบประมาณทจ าเปนตองใช ในกรณทหนวยงานตองเปลยนไปใชระบบปฏบตการใหม

๑๒.๓ การพฒนาซอฟตแวรโดยหนวยงานภายนอก ๑) จดใหมการควบคมโครงการพฒนาซอฟตแวรโดยผรบจางจากภายนอก ๒) ใหระบวาใครจะเปนผมสทธในทรพยสนทางปญญาส าหรบซอรสโคด ใน การ

พฒนาซอฟตแวรโดยผรบจางใหบรการจากภายนอก ๓) ใหก าหนดเรองการสงวนสทธทจะตรวจสอบดานคณภาพและความถกตองของ

ซอฟตแวรทจะมการพฒนาโดยผใหบรการภายนอกโดยระบไวในสญญาจางทท ากบผใหบรการภายนอก นน

๔) ใหมการตรวจสอบโปรแกรมไมประสงคด ในซอฟตแวรตางๆ ทจะท าการตดตง กอนด าเนนการตดตง

๑๒.๔ มาตรการควบคมชองโหวทางเทคนค

๑) ก าหนดใหมการจดท าบญชของระบบสารสนเทศเพอใชส าหรบกระบวนการบรหารจดการชองโหวของระบบเหลานน ใหมการบนทกดงตอไปน

- ชอซอฟตแวรและเวอรชนทใชงาน - สถานททตดตง - เครองทตดตง - ผผลตซอฟตแวร - ขอมลส าหรบตดตอผผลตหรอผพฒนาซอฟแวรนนๆ

๒) ก าหนดใหมการจดการกบชองโหวส าคญของระบบสารสนเทศอยางเหมาะสมโดย ทนท

๓) กระบวนการบรหารจดการชองโหวของระบบสารสนเทศใหผดแลระบบการ ด าเนนการ ดงน

- มการเฝาระวงและตดตามประเมนความเสยงส าหรบชองโหวของระบบ สารสนเทศรวมทงการประสานงานเพอใหผทเกยวของด าเนนการแกไขชองโหวตามความเหมาะสม

- ใหก าหนดแหลงขอมลขาวสารเพอใชในการตดตามชองโหวของระบบ สารสนเทศของหนวยงาน

- ก าหนดใหผทเกยวของด าเนนการประเมนความเสยงเมอไดรบแจงหรอทราบ เกยวกบชองโหวนน

๔) ปดการใชงานหรอควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ ใหใชงานไดอยางจ ากดระยะเวลาเทาทจ าเปน โดยตองไดรบการอนญาตจากผรบผดชอบเปน ลายลกษณ อกษร

Page 51: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓๓

๑๒.๕ การบนทกเหตการณทเกยวของกบการใชงานระบบสารสนเทศ (Audit Logging) ม การบนทกพฤตกรรมการใชงาน (Log) การเขาถงระบบสารสนเทศ ดงน

๑) ขอมลชอบญชผใชงาน ๒) ขอมลวนเวลาทเขาถงระบบ ๓) ขอมลวนเวลาทออกจากระบบ ๔) ขอมลเหตการณส าคญทเกดขน ๕) ขอมลการลอกอน ทงทส าเรจและไมส าเรจ ๖) ขอมลความพยายามในการเขาถงทรพยากรทงทส าเรจและไมส าเรจ ๗) ขอมลการเปลยนคอนฟกกเรชน(Configuration) ของระบบ ๘) ขอมลแสดงการใชงานแอพพลเคชน ๙) ขอมลแสดงการเขาถงไฟลและการกระท ากบไฟล ๑๐) ขอมลไอพแอดเดรส (IP Address)ทเขาถง ๑๑) ขอมลโปรโตคอล (Protocol)เครอขายทใช ๑๒) ขอมลแสดงการหยดการท างานของระบบปองกนไวรสคอมพวเตอร ๑๓) ขอมลแสดงการส ารองขอมลไมส าเรจ

๑๓. การใชงานระบบอนเทอรเนต

๑๓.๑ ก าหนดเสนทางการเชอมตอระบบคอมพวเตอร เพอการเขาใชงานอนเทอรเนตทตองเชอมตอผานระบบรกษาความปลอดภยทมหาวทยาลยสวนดสต จดสรรไวเทานน เชน Proxy, Firewall, IPS-IDS เปนตน หามผใชท าการเชอมตอระบบคอมพวเตอรผานชองทางอนเชน Dial Up Modem ยกเวนแตวามเหตผลความจ าเปนและท าการขออนญาตจากผอ านวยส านกวทยบรการและเทคโนโลยสารสนเทศเปนลายลกษณอกษร

๑๓.๒ เครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา กอนท าการเชอมตออนเทอรเนตผานเวบเบราเซอร (Web Browser) ตองมการตดตงโปรแกรมปองกนไวรสและท าการอดชองโหวของระบบปฏบตการเวบเบราเซอร

๑๓.๓ ผใชงาน ตองไมใชเครอขายอนเทอรเนตของมหาวทยาลยสวนดสต เพอหาประโยชนในเชงธรกจสวนตว และท าการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาทขดตอชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคม เปนตน

๑๓.๔ ผใชงาน จะถกก าหนดสทธในการเขาถงแหลงขอมลตามหนาทความรบผดชอบเพอประสทธภาพของเครอขายและความปลอดภยทางขอมลของมหาวทยาลยสวนดสต

๑๓.๕ ผใชงานตองไมเผยแพรขอมลทเปนการหาประโยชนสวนตวขอมลทไมเหมาะสมทางศลธรรมขอมลทละเมดสทธของผอนและขอมลทอาจกอความเสยหายใหกบมหาวทยาลยสวนดสต

๑๓.๖ ผใชงานตองไมเปดเผยขอมลส าคญทเปนความลบเกยวกบงานของมหาวทยาลยสวนดสตทยงไมไดประกาศอยางเปนทางการผานอนเทอรเนต

Page 52: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓๔

๑๓.๗ ผใชงานตองไมน าขอมลคอมพวเตอรใดๆทมลกษณะอนเปนเทจอนเปนความผดทเกยวกบความมนคงแหงราชอาณาจกรอนเปนความผดเกยวกบการกอการรายหรอภาพลกษณทมลกษณะอนลามกและไมท าการเผยแพรหรอสงตอขอมลคอมพวเตอรดงกลาวทางอนเทอรเนต

๑๓.๘ ผใชไมน าเขาขอมลคอมพวเตอรทเปนภาพของผอนและน าภาพนนเปนภาพทเกดจากการสรางขนตดตอเตมหรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใดทงนจะท าใหผอนนนเสยชอเสยงถกดหมน ถกเกลยดชง หรอไดรบความอบอาย

๑๓.๙ ผใชไมน าเขาขอมลคอมพวเตอรทเปนภาพของผอนและน าภาพนนซงเปนภาพทเกดจากการสรางขนตดตอเตมหรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใด ทงนจะท าใหผอนนนเสยชอเสยงถกดหมน ถกเกลยดชง หรอไดรบความอบอาย

๑๓.๑๐ ผ ใชงานมหนาทตรวจสอบความถกตองและความนาเชอถอขอ งขอมล คอมพวเตอรทอยบนอนเทอรเนตกอนน าขอมลไปใชงาน

๑๓.๑๑ ผใชงานตองระมดระวงการดาวโหลดโปรแกรมใชงานจากอนเทอรเนตซงรวมถง Patch หรอ Fixes ตางๆ การดาวนโหลดทกประเภทตองเปนไปโดยไมละเมดทรพยสนทางปญญา

๑๓.๑๒ ในการเสนอความคดเหนผใชตองไมใชขอความทยวยใหรายทจะท าใหเกดความเสอมเสยตอชอเสยงของมหาวทยาลยสวนดสต รวมถงการท าลายความสมพนธกบเจาหนาทของหนวยงานอนๆ

๑๓.๑๓ หลงจากใชงานอนเทอรเนตแลวใหท าการปดเวบเบราเซอรเพอปองกนการเขาใชงานโดยบคคลอน

๑๔. การใชงานเครอขายสงคมออนไลน (Social Network)

๑๔.๑ อนญาตใหใชงานเครอขายสงคมออนไลนในรปแบบและลกษณะตามทมหาวทยาลยไดก าหนดไว เทานน

๑๔.๒ ผใชงานทใชงานเครอขายสงคมออนไลนตองมความตระหนกเรองความมนคงปลอดภย อยเสมอ และตองรบผดชอบหากเกดความเสยหายใดๆ ทมผลกระทบกบมหาวทยาลยจากการใชงาน เครอขายสงคมออนไลน

๑๔.๓ ไมอนญาตใหใชเครอขายสงคมออนไลนเพอเผยแพรขอมลทเปนความลบ และม ผลกระทบดานชอเสยงตอบคคลอน

๑๔.๔ ใชงานเครอขายสงคมออนไลนเทาทจ าเปนเทานน และไมมผลกระทบตองานประจ าท ท าอย

๑๔.๕ หากเกดปญหาจากการใชงานเครอขายสงคมออนไลน ทอาจมผลกระทบกบมหาวทยาลย ผใชงานตองแจงตอส านกวทยบรการและเทคโนโลยสารสนเทศโดยเรวทสด เพอด าเนนการตามความเหมาะสม

Page 53: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓๕

๑๕. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ๑๕.๑ ผดแลระบบ ตองก าหนดชนความลบของขอมล วธปฏบตในการจดเกบขอมลและ

วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบ ทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงวธการท าลายขอมลแตละประเภทชนความลบ

๑๕.๒ เจาของขอมล จะตองมการสอบทานความเหมาะสมของสทธในการเขาถงขอมลของผใชงานอยางนอยปละ ๑ ครง เพอใหมนใจไดวาสทธตางๆ ทใหไวยงคงมความเหมาะสม

๑๕.๓ วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบ ทงการเขาถงโดยตรง และการเขาถงรหสผานระบบงานผดแลระบบ ตองมการก าหนดรายชอผใชงาน (User Account) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบของขอมล

๑๕.๔ การรบส งขอมลส าคญผ านเครอข ายสาธารณะควรได รบการเข ารหส (Encryption) ทเปนมาตรฐานสากล

๑๕.๕ มมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าเครองคอมพวเตอรออกนอกพนทของมหาวทยาลย เชน สงเครองคอมพวเตอรไปตรวจซอม ควรส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน

๑๖. ตองทบทวนปรบปรงแนวนโยบายและขอปฎบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ใหเปนปจจบนอยเสมอ อยางนอยปละ ๑ ครง โดยใหครอบคมเนอหา ดงน

๑๖.๑. มการทบทวนแนวนโยบายและแนวปฎบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

๑) การเขาถงหรอควบคมการใชงานระบบสารสนเทศ (Access Control) ๒) การการเขาถงของผใชงาน (User Access Management) ๓) หนาทความรบผดชอบของผใชงาน (User Responsibilities) ๔) การควบคมการเขาถงเครอขาย (Network Access Control) ๕) การควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) ๖) การควบคมการเขาถงโปรแกรมประยกต หรอแอพพลเคชน และสารสนเทศ

(Application and Information Access Control) ๗) การควบคมการเขาถ งระบบเครอขายไรสาย (Wireless LAN Access

Control) ๘) การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical

and Environmental Security) ๙) การเขาถงเครองคอมพวเตอรแมขาย ๑๐) การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา ๑๑) การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ๑๒) การควบคมการใชงานระบบจดหมายอเลกทรอนกส (e-mail) ๑๓) การใชงานระบบอนเทอรเนต (Internet) ๑๔) การใชงานเครอขายสงคมออนไลน (Social Network)

Page 54: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓๖

๑๕) การจดเกบขอมลจราจรคอมพวเตอร (Log) ๑๖.๒ ระบบสารสนเทศและระบบส ารองของสารสนเทศ และแผนเตรยมความพรอม

กรณฉกเฉน ๑๖.๓ แผนประเมนความเสยงดานสารสนเทศ

Page 55: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓๗

นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ

สวนท ๒ นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ

วตถประสงค

๑. เพอใหระบบสารสนเทศของมหาวทยาลยใหบรการไดอยางตอเนอง ๒. เพอเปนมาตรฐาน แนวทางปฏบตและความรบผดชอบของผดแลระบบในการปฏบตงานใหกบ

หนวยงาน เปนไปอยางเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย ผรบผดชอบ

๑. ส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต ๒. ผดแลระบบทไดรบมอบหมายจากผบรหารเทคโนโลยสารสนเทศระดบสง

อางองมาตรฐาน

มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส นโยบาย

๑. มหาวทยาลยจะตองจดท าแนวทางปฏบตในการส ารองและกคนขอมลทหนวยงานนนรบผดชอบ เปนประจ าทกป

๒. ตองพจารณาคดเลอกและจดท าระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงาน ๓. ตองจดท าแผนเตรยมความพรอมกรณฉกเฉน ในกรณทไมสามารถด าเนนการดวยวธการ

ทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ

๔. ตองมการก าหนดหนาทและความรบผดชอบของบคลากร ซงท าหนาทดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉน ในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

๕. ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และแผนเตรยมพรอมกรณฉกเฉนอยางสม าเสมอ อยางนอยปละ ๑ ครง

๖. มการทบทวนระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉนทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงาน เปนประจ าทกป แนวปฏบต

๑. ผรบผดชอบระบบสารสนเทศทกระบบภายในมหาวทยาลย ตองจดท าแนวทางปฏบตในการส ารองและกคนขอมล โดยจดระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงาน ตามแนวทางตอไปน

Page 56: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓๘

นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ

๑.๑ มการจดท าบญชระบบสารสนเทศทส าคญของหนวยงาน ไดแก ระบบบรหารการศกษา ระบบบรหารบคลากร ระบบบรหารการเงน ระบบบรหารงานวจย ระบบส านกงานอเลกทรอนกส พรอมจดท าระบบส ารอง โดยมวธด าเนนการดงน

ระบบ ขอมลทจดเกบ ความถ :

ขอมลทมสวนตาง Incremental backup

ความถ: ส ารองแบบเตม Full Backup

๑.ระบบบรหารการศกษา -File system -data

รายวน ทกวนอาทตย

๒.ระบบบรหารงานบคคล -File system -data

รายวน ทกวนอาทตย

๓.ระบบบรหารการเงน -File system -data

รายวน ทกวนอาทตย

๔.ระบบบรหารงานวจย -File system -data

รายวน ทกวนอาทตย

๕.ระบบส านกงานอเลกทรอนกส -File system -data

รายวน ทกวนอาทตย

๑.๒ ก าหนดใหมการส ารองขอมลของระบบสารสนเทศแตละระบบ และก าหนดความถใน

การส ารองขอมล หากระบบใดทมการเปลยนแปลงบอย ควรก าหนดใหมความถในการส ารองขอมลมากขน โดยใหมวธการส ารองขอมล ดงน

- ก าหนดประเภทของขอมลทตองท าการส ารองเกบไว และความถในการส ารอง - ก าหนดรปแบบการส ารองขอมลใหเหมาะสมกบขอมลทจะท าการส ารอง ไดแก

การส ารองขอมลแบบเตม (Full Backup) สปดาหละครง และการส ารองขอมลแบบสวนตาง (Incremental Backup) แบบรายวน

- บนทกขอมลทเกยวของกบกจกรรมการส ารองขอมล ไดแก ผด าเนนการ วน/เวลาชอขอมลทส ารอง ส าเรจ/ไมส าเรจ เปนตน

- ตรวจสอบขอมลทงหมดของระบบวามการส ารองขอมลไวอยางครบถวน ไดแก ซอฟตแวร ตาง ๆ ทเกยวของกบระบบสารสนเทศ ขอมลการตงคา (Configuration) ขอมลในฐานขอมล เปนตน

- จดเกบขอมลทส ารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบขอมลนนใหสามารถแสดงถงระบบซอฟตแวร วนท เวลาทส ารองขอมล และผรบผดชอบในการส ารองขอมลไวอยางชดเจน

- จดเกบขอมลทส ารองไวนอกสถานท ระยะทางระหวางสถานททจดเกบขอมลส ารองกบหนวยงานควรหางกนเพยงพอเพอไมใหสงผลกระทบตอขอมลทจดเกบไวนอกสถานทนนในกรณทเกดภยพบตกบหนวยงาน

Page 57: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๓๙

นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ

- ด าเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทส ารองทใชจดเกบขอมลนอกสถานท

- ทดสอบบนทกขอมลส ารองอยางสม าเสมอ เพอตรวจสอบวายงคงสามารถเขาถงขอมลไดตามปกต

- จดท าขนตอนปฏบตส าหรบการกคนขอมลทเสยหายจากขอมลทไดส ารองเกบไว

- ตรวจสอบและทดสอบประสทธภาพและประสทธผลของขนตอนปฏบตในการกคนขอมลอยางสม าเสมอ

- ก าหนดใหมการใชงานการเขารหสขอมลกบขอมลลบทไดส ารองเกบไว ๒. มแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการอตโนมต

เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ ตามแนวทางตอไปน

๒.๑ มการจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการอตโนมต โดยมรายละเอยดอยางนอย ดงน

- มการก าหนดหนาท และความรบผดชอบของผทเกยวของทงหมด - มการประเมนความเสยงส าหรบระบบทมความส าคญเหลานน และก าหนด

มาตรการ เพอลดความเสยงเหลานน - มการก าหนดขนตอนปฏบตในการกคนระบบสารสนเทศ - มการก าหนดขนตอนปฏบตในการส ารองขอมล และทดสอบกคนขอมลทส ารองไว - มการก าหนดชองทางในการตดตอกบผใหบรการภายนอก เมอเกดเหตจ าเปนท

จะตองตดตอ - การสรางความตระหนก หรอใหความรแกเจาหนาทผทเกยวของกบขนตอนการ

ปฏบต หรอ สงทตองท าเมอเกดเหตเรงดวน

Page 58: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๔๐

นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ

๒.๒ ตองมการก าหนดหนาทและความรบผดชอบของบคลากรซงดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง ดานเทคโนโลยสารสนเทศ

บคลากรหลก บคลากรส ารอง บทบาท ชอ เบอรโทรศพท ชอ เบอรโทรศพท

ดร.สวงค บญปลก (รองอธการบดฝายเทคโนโลยสารสนเทศ) นายวระพนธ ชมภแดง (ผอ านวยการส านกวทยบรการและเทคโนโลยสารสนเทศ)

๐๙๖-๔๕๔-๕๙๙๑

นางสาวทพสดา คดเลศ (รองผอ านวยการส านกวทยบรการฯ) นายธรบญ เดชอดม (ผชวยผอ านวยการส านกวทยบรการฯ)

๐๘๑-๖๓๓-๑๔๘๕ ๐๘๑-๓๒๗-๔๕๗๔

หวหนาคณะบรหารความพรอมฉ ก เ ฉ น แ ล ะแ ผนส า ร อ งด า นเทคโนโลยสารสนเทศ

นางจ านรรจา พลอยมกดา ๐๘๖-๔๐๓-๑๙๕๙

นายไพฑรย นามเสนา นายณฐกานต พงธพนธ

๐๘๑-๒๘๕-๗๒๖๒ ๐๘๔-๐๐๔-๒๕๕๔

หวหนาทมงานบรหารความพรอมฉ ก เ ฉ น แ ล ะแ ผนส า ร อ งด า นเทคโนโลยสารสนเทศ (ระบบเครอขายอนเทอรเนต)

นายสถตย เชดฉนท ๐๘๔-๐๗๔-๗๑๙๔

นายวทวส ทองยศ ๐๘๗-๓๘๔-๓๒๑๑

หวหนาทมงานบรหารความพรอมฉกเฉนและแผนส ารองดานเทคโนโลยสารสนเทศ(ระบบสารสนเทศ)

นายสนธยา แยมเดช นายชชวาลย ลาภเกน

๐๘๗-๘๗๘-๐๗๔๕ ๐๘๙-๔๕๓-๗๑๔๐

นายกษนนท ก.ศรสวรรณ นายปภาวน ปญญาใส

๐๘๑-๒๐๗-๓๒๓๗ ๐๙๕-๗๐๙-๖๓๖๙

หวหนาทมงานบรหารความพรอมฉกเฉนและแผนส ารองดานเทคโนโลยสารสนเทศ (ศนยขอมลกลาง)

นายจกร ชมภนช

๐๘๑-๙๒๒-๖๙๒๖

นายสทศน รงเรอง ๐๘๙-๙๑๖-๔๔๘๙

หวหนาทมงานบรหารความพรอมฉกเฉนและแผนส ารองดานเทคโนโลยสารสนเทศ (งานชางเทคนค)

นส.ธนยมย กลนเขยว ๐๘๑-๓๔๔-๗๔๕๘

นส.ชยญามล เลศสงคราม นส.มลธรา โพธนอย

๐๘๔-๘๙๙-๐๙๘๙ ๐๘๑-๗๕๒-๔๗๑๙

ผประสานงานคณะกรรมการด าเนนงานเตรยมความพรอมฉกเฉนและแผนส ารองดานเทคโนโลยสารสนเทศ

๒.๓ ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และระบบ

แผนเตรยมพรอมกรณฉกเฉน อยางนอยปละ ๑ ครง ๒.๔ มการทบทวนเพอปรบปรงแผน ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉนทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงาน อยางนอยปละ ๑ ครง

Page 59: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๔๑

นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร

สวนท ๔ นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร วตถประสงค

๑. เพอสรางความรความเขาใจในการใชงานระบบสารสนเทศและระบบคอมพวเตอรใหกบผใชงานของมหาวทยาลย

๒. เพอเปนการปองกนการกระท าผดทเกดจากการรเทาไมถงการณของผใช ๓. เพอใหการใชงานระบบสารสนเทศและระบบคอมพวเตอรมความมนคงปลอดภย

ผรบผดชอบ ๑. กลมงานระบบสารสนเทศและระบบเครอขาย ส านกวทยบรการและเทคโนโลยสารสนเทศ

มหาวทยาลยสวนดสต ๒. ผดแลระบบทไดรบมอบหมายจากผบรหารเทคโนโลยสารสนเทศระดบสง

อางองมาตรฐาน มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส

นโยบาย ๑. จดท าแผนการฝกอบรมทางดานการสรางความรความเขาใจในการใชระบบสารสนเทศ

และระบบคอมพวเตอร ส าหรบผใชงาน ๒. จดท าคมอการใชระบบสารสนเทศและระบบคอมพวเตอรของมหาวทยาลยทงในรปแบบ

เอกสารและรปแบบอเลกทรอนกส ๓. จดใหมการฝกอบรมการใชงานระบบสารสนเทศของมหาวทยาลย เมอมการปรบปรงและ

เปลยนแปลงการใชงานระบบสารสนเทศ ๔. มการประเมนระดบความรความเขาใจในการใชงานระบบสารสนเทศและระบบ

คอมพวเตอรของผใชงาน ๕. รายงานผลการประเมนระดบความรความเขาใจในการใชงานระบบสารสนเทศและระบบ

คอมพวเตอรของผใชงานตอผบรหารระดบสง ๖. น าผลการประเมนไปปรบปรงแผนการการสรางความรความเขาใจในการใชระบบ

สารสนเทศและระบบคอมพวเตอร สาหรบผใชงานตอไป แนวปฏบต

๑. จดใหมการฝกอบรมการใชงานระบบสารสนเทศของแตละหนวยงาน เมอมการปรบปรงและเปลยนแปลงการใชงานระบบสารสนเทศ

๒. จดใหมการทบทวนการใชงานระบบสารสนเทศของแตละหนวยงาน อยางนอยปละ ๑ ครง

๓. จดท าคมอและแนวปฏบตงานระบบสารสนเทศของแตละหนวยงานทงในรปแบบเอกสารและรปแบบอเลกทรอนกส

Page 60: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๔๒

นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร

๔. มการเผยแพรนโยบายและแนวปฏบตในการใชระบบสารสนเทศ ระบบคอมพวเตอร และนโยบายความมนคงปลอดภยดานสารสนเทศ หนวยงาน: ส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

โครงการ: การสงเสรมและความเขาใจในการรกษาความปลอดภยบนโลกอนเทอรเนต ส าหรบอาจารย เจาหนาท นกศกษา มหาวทยาลยสวนดสต

หลกการและเหตผล:

ปจจบนเทคโนโลยสารสนเทศและการสอสารมการพฒนากาวหนาอยางรวดเรว และไดเขามาเปนสวนหนงในชวตประจ าวนของทกคนรวมถงอาจารย เจาหนาท มหาวทยาลยสวนดสต โดยไมสามารถหลกเลยงได เพราะตองใชเทคโนโลยเหลานนเปนสวนหนงในการท างาน ส าหรบการสอสารทงภาพ เสยง สอมลตมเดยตางๆ และการท าธรกรรมสามารถด าเนนการรบสงผานระบบเครอขายไดอยางรวดเรว แตถงอยางไรกตามการใชเทคโนโลยนนมคณอนนตแตกมโทษมหนตเชนเดยวกน หากผใชรไมเทาทนอนตรายทกดจากการใชงานงานผานอปกรณตางๆ โดยเฉพาะอปกรณประเภทโมบาย

ดวยเหตนทางส านกวทยบรการและเทคโนโลยสารสนเทศไดตระหนกถงความส าคญและเลงเหนประโยชนทจะจดอบรมเพอใหความร อาจารย เจาหนาท มหาวทยาลยสวนดสต ไดรเทาทนเพอปองกนอนตรายทจะเกดขนแกชอเสยง หรอทรพยสน

วตถประสงคโครงการ:

๑. เพอใหอาจารย เจาหนาท นกศกษาไดทราบถงเทคโนโลยทเปนปจจบนพรอมสามารถน าไปใชในชวตประจ าวนวนทงการท างานและการเรยนใหไดมากทสด

๒. เพอใหอาจารย เจาหนาท นกศกษาไดตระหนกถงความปลอดภยในการใชงานเทคโนโลย ทเกยวของกบชวตประจ าวนจากการใชงานอปกรณประเภทโมบายใหมากขน

ตวชวดความส าเรจของโครงการ:

๑. ผเขารบการอบรมมความเขาใจในเทคโนโลยทสามารถน าไปใชในชวตประจ าวนวนทงการท างานและการเรยนไมนอยกวารอยละ ๗๐

๒. ผเขารบการอบรมตองมความเขาใจในความปลอดภยในการใชงานเทคโนโลย และสามารถน าไปใชงานไดจรงไมนอยกวารอยละ ๕๐

Page 61: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๔๓

นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร

ผรบผดชอบโครงการ:

ผสนบสนน/แหลงเงนทน มหาวทยาลยสวนดสต ผรบผดชอบโครงการ ส านกวทยบรการและเทคโนโลยสารสนเทศ คณะท างานโครงการ ๑. ฝายเทคโนโลยสารสนเทศและคอมพวเตอร

๒. ฝายส านกงานผอ านวยการฯ ๓. ฝายพฒนาระบบการเรยนร ๔. ฝายศนยขอมลกลาง

กลมเปาหมาย:

๑. บคลากรมหาวทยาลยสวนดสต จ านวน ๑๐๐ คน ๒. นกศกษาทกหลกสตร จ านวน ๑๐๐ คน

กจกรรมด าเนนการ: ระหวางเดอนกรกฏาคมถงกนยายน

กจกรรมส าคญในการด าเนนการ

ตวชวดความส าเรจของกจกรรม

ระยะเวลาสถานทด าเนนการ

ผรบผดชอบ/บทบาทความรบผดชอบ

๑. อบรมการใชอนเทอรเนตผานสมารทโฟนหรอแทบเลตใหปลอดภย

๑ . ร อยละความพงพอใจของนกศกษาทมตอการอบรมการใชอ น เ ท อ ร เ น ต ผ า นสมารทโฟนหรอแทบเลตใหปลอดภยไมต ากวา ๗๐

สงหาคม-กนยายน หองปฏบตการ

คอมพวเตอร ๑๑๒๐๑

ส านกวทยบรการฯ

๒ . ร อยละความพงพอใจของบคลากรทมตอการอบรมการใชอ น เ ท อ ร เ น ต ผ า นสมารทโฟนหรอแทบเลตใหปลอดภยไมต ากวา ๗๐

๒. อบรมการระวงอนตรายเรองขอมลสวนตวในการใชงานอนเทอรเนต

๑ . ร อยละความพงพอใจของนกศกษาทมตอการอบรมการระวงอนตรายเรองขอมลสวนตวในการใชงานอนเทอรเนตไมต ากวา ๗๐

สงหาคม-กนยายน หองประชมปนนอย

อาคารวทยบรการ ชน ๔

ส านกวทยบรการฯ

Page 62: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๔๔

นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร

กจกรรมส าคญในการด าเนนการ

ตวชวดความส าเรจของกจกรรม

ระยะเวลาสถานทด าเนนการ

ผรบผดชอบ/บทบาทความรบผดชอบ

๒ . ร อยละความพงพอใจของบคลากรทมตอการอบรมการระวงอนตรายเรองขอมลสวนตวในการใชงานอนเทอรเนตไมต ากวา ๗๐

๓. อบรมการรเทาทนและระวงอนตรายจากการหลอกลวงรปแบบตางๆ จากการใชงานอนเทอรเนต

๑ . ร อยละความพงพอใจของนกศกษาทมตอการอบรมการรเทาทนและระวงอนตรายจากการหลอกลวงรปแบบตางๆ จาการใชงานอนเทอรเนตไมต ากวา ๗๐

สงหาคม-กนยายน หองประชมปนนอย

อาคารวทยบรการ ชน ๔

ส านกวทยบรการฯ

๒ . ร อยละความพงพอใจของบคลากรทมตอการอบรมการรเทาทนและระวงอนตรายจากการหลอกลวงรปแบบตางๆ จาการใชงานอนเทอรเนตไมต ากวา ๗๐

งบประมาณ: ๑๐๐,๐๐๐ บาท (หนงแสนบาทถวน)

ความสอดคลองกบแผนตางๆ ของมหาวทยาลย

๑. ยทธศาสตรท ๔ แผนกลยทธมหาวทยาลยป ๒๕๕๗-๒๕๖๐ ฉบบปรบปรง ๒๕๕๘ ๒. การปรบยทธศาสตร มหาวทยาลยสวนดสต Suan Dusit University Reprofiling Update

๒๓ มกราคม ๒๕๖๐

ความสอดคลองกบตวชวด/ตวบงชกบเกณฑมาตราฐาน

๑. ตวบงช ๖.๑ สงสนบสนนการเรยนร (ส านกงานคณะกรรมการการอดมศกษา)

Page 63: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๔๕

นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร

ผลทคาดวาจะไดรบ

๑. อาจารย เจาหนาท นกศกษา มหาวทยาลยสวนดสต มความรความเขาใจในเทคโนโลยสารสนเทศและสามารถถายทอดไปยงบคคลอนได

๒. อาจารย เจาหนาท นกศกษา มหาวทยาลยสวนดสต สามารถปองการอนตรายอาจจะเกดขนจาการใชเทคโนโลยจากอปกรณประเภทโมบายไดเบองตน

๓. อาจารย เจาหนาท นกศกษา มหาวทยาลยสวนดสต มความระมดระวงในขอมลสวนตวจากการใชงานอนเทอรเนต

๔. อาจารย เจาหนาท นกศกษา มหาวทยาลยสวนดสต รเทาทนการหลอกลวงในรปแบบตางๆ ทเปนภยอนตรายจากการใชงานอนเทอรเนต

ความเสยงทส าคญ

ความเสยงทส าคญ แนวทางบรหารความเสยง ๑. ผเขารบการอบรมไมสามารถเขารวม

ตามเปาหมายทตงไว ๑ .๑ ประชาส ม พนธ ผ านช อ งท า ง ท

กลมเปาหมายสามารถเขาถงไดงาย ไดแก วทยกระจายเสยง จดหมายขาว โทรศพทสายตรง เปนตน

๑.๒ ใหหนวยงานแจงรายชอผเขารบการอบรมผานทางใบตอบรบพรอมระบหมายเลขโทรศพทเพอยนยนในการเขารวมโครงการ

๒. กลมเปาหมายไดรบความรไมครบถวนหลงจากทเขารบการอบรม

๒.๑ แจกเอกสารประกอบการอบรมหรอแจงลงคใหดาวโหลดเอกสาร เพอใหผเขารวมอบรมสามารถจดเกบและอานยอนหลงได

ความคมคาในการด าเนนโครงการ

๑. มหาวทยาลยมบคลกรทมความรความเขาใจในเทคโนโลยสารสนเทศและการสอสารอยางดเยยมและสามารถน าความรทไดรบไปตอยอดเพอสนบสนนในการเรยนการสอนและการปฏบตงานได

๒. มหาวทยาลยสามารถใหบรการอนเทอรเนตไดอยางมประสทธภาพเนองจากอปกรณทใชงานภายใตเครอขายของมหาวทยาลยมความปลอดภยจากอนตรายทเกดขนจากการใชอนเทอรเนต เชน อปกรณไมตดไวรสและปองกนการตดไวรสทงระบบเครอขายของมหาวทยาลยได วธการสอสารกบผมสวนไดสวนเสย

การสอสารกบกลมเปาหมาย

Page 64: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๔๖

นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร

๑. ประชาสมพนธการอบรมสมมนาผานทางชองทางวทยกระจายเสยง จดหมายขาว โทรศพทสายตรง งานสารบรรณอเลกทรอนกส ตใหบรการอตโนมต (ต KIOSK) โปสเตอรโครงการ เกยวกบก าหนดการอบรมสมมนา

๒. จดบรการตอบค าถามสายตรงเกยวกบการใชฐานขอมลและ ICT ของมหาวทยาลย การสอสารกบกลมผด าเนนงาน ๑. จดประชมชแจงคณะกรรมการด าเนนงานเกยวกบรปแบบการจดอบรมสมมนา ๒. ประสานงานระหวางการด าเนนงานดวยโทรศพท ประชมกลม และสอสงคมออนไลน

Page 65: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๔๗

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

สวนท ๔ นโยบายแผนรบสถานการณฉกเฉนจากภยพบต

ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

วตถประสงค

๑. เพอสรางความเขาใจรวมกนระหวางผบรหารและผปฏบตในการดแลรกษาระบบความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ ขององคกร

๒. เพอลดความเสยหายทอาจจะเกดแกระบบเทคโนโลยสารสนเทศ ๓. เพอเปนแนวทางในการดแลรกษาระบบความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศของ

องคกร ใหมเสถยรภาพและมความพรอมส าหรบการใชงาน ๔. เพอใหระบบเทคโนโลยสารสนเทศสามารถด าเนนการไดอยางตอเนองและมประสทธภาพ

สามารถแกไขสถานการณไดอยางทนทวงท ๕. เพอเตรยมความพรอมรบสถานการณฉกเฉนทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศ ของ

องคกร

ผรบผดชอบ

๑. ส านกวทยบรการและเทคโนโลยสารสนเทศ ๒. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน

มาตรฐานการกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส นโยบาย

๑. มหาวทยาลยจะตองจดท าแนวปฏบตสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

๒. มหาวทยาลยจะตองวเคราะห วางแผนสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร

๓. ตองมการก าหนดหนาทและผรบผดชอบในการจดการสถานการณฉกเฉน และสรปการด าเนนงานตอมหาวทยาลย

๔. ตองจดท าแผนเตรยมความพรอมกรณฉกเฉน ในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ

Page 66: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๔๘

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

๕. ตองมการก าหนดหนาทและความรบผดชอบของบคลากร ซงท าหนาทดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉน ในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

๖. ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และแผนเตรยมพรอมกรณฉกเฉนอยางสม าเสมอ อยางนอยปละ ๑ ครง

๗. มการทบทวนระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉนทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงาน เปนประจ าทกป

Page 67: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๔๙

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

แผนรบสถานการณฉกเฉนจากภยพบต อนอาจมผลกระทบตอ ระบบเทคโนโลยสารสนเทศและการสอสาร

(IT Contingency Plan)

๑. หลกการและเหตผล ขอมลสารสนเทศ ถอเปนทรพยสนทางการบรหารทมความส าคญตอทางราชการ จ าเปนตองไดรบการ

ดแลรกษาเพอใหเกดความมนคงปลอดภย สามารถน าไปใชประโยชนตอการวางแผนพฒนาองคกร การบรหารจดการองคกร และการปฏบตงานของบคลากรในหนวยงาน ส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสตไดตระหนกถงความส าคญของระบบเทคโนโลยสารสนเทศขององคกร ซงอาจมปจจยจากภายนอกและปจจยภายในมากระทบท าใหระบบเทคโนโลยสารสนเทศ รวมทงระบบอปกรณตางๆ เสยหายได

ส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต จงไดจดท าแผนรบสถานการณฉกเฉนจากภยพบต อนอาจมผลกระทบตอระบบเทคโนโลยสารสนเทศและการสอสารของมหาวทยาลยสวนดสต เพอเปนกรอบแนวทางในการดแลรกษาระบบ และแกไขปญหาทอาจจะสงผลกระทบตอระบบเทคโนโลยสารสนเทศรวมถงระบบอปกรณตางๆ

๒. วตถประสงค

๑. เพอสรางความเขาใจรวมกนระหวางผบรหารและผปฏบต ในการดแลรกษาระบบความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ ขององคกร

๒. เพอลดความเสยหายทอาจจะเกดแกระบบเทคโนโลยสารสนเทศ ๓. เพอเปนแนวทางในการดแลรกษาระบบความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

ขององคกร ใหมเสถยรภาพและมความพรอมส าหรบการใชงาน ๔. เพอใหระบบเทคโนโลยสารสนเทศสามารถด าเนนการไดอยางตอเนองและมประสทธภาพ

สามารถแกไขสถานการณไดอยางทนทวงท ๕. เพอเตรยมความพรอมรบสถานการณฉกเฉนทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศ ของ

องคกร

Page 68: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๕๐

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

๓. ภยพบต ภยพบตทอาจกอใหเกดความเสยหายกบระบบเทคโนโลยสารสนเทศมหาวทยาลยสวนดสต สามารถ

จ าแนกไดเปนสองกลมหลกๆ ไดแก ๓.๑ ภยพบตจากภายนอก

๑) ภยธรรมชาตและการเกดสถานการณความไมสงบทกระท าตออาคารสถานทตงของเครองประมวลผลหลก หรอเครองแมขาย ไดแก ภยพบต อคคภย อทกภย ความชน อณหภม แมลงกดแทะ เปนตน

๒) การโจรกรรมอปกรณคอมพวเตอรแมขายทเปนสวนของการจดเกบและรวบรวมขอมล ๓) ระบบการสอสารของเครองแมขายทเชอมตอระบบอนเทอรเนตเกดความขดของ ๔) ระบบกระแสไฟฟาขดของ / ไฟฟาดบ ๕) การบกรกหรอโจมตจากภายนอก เพอเขาถงหรอควบคมระบบเทคโนโลยสารสนเทศ

รวมทงสรางความเสยหาย หรอท าลายระบบขอมล ๖) ไวรสคอมพวเตอร

๓.๒ ภยพบตจากภายใน ๑) ระบบแมขายหลก ระบบฐานขอมลหลกเสยหาย หรอขอมลถกท าลาย ๒) ไวรสคอมพวเตอรจากผใชงานภายในองคกร ๓) เจาหนาทหรอบคลากรของหนวยงานขาดความรความเขาใจในการใชเครองมออปกรณ

คอมพวเตอรทงดานฮารดแวร และซอฟตแวร อนอาจท าใหระบบเทคโนโลยสารสนเทศเสยหาย ใชงานไมได หรอหยดการท างาน ๔. แนวทางการจดการภยพบต

๔.๑ ภยพบตจากภายนอก ๔.๑.๑ ภยธรรมชาตและการเกดสถานการณความไมสงบทกระท าตออาคารสถานทต งของเครองประมวลผลหลก หรอเครองแมขาย

๔.๑.๑.๑ การปองกนอคคภย การด าเนนการ ดงน ๑) ก าหนดเขตพนทควบคมการเกดอคคภย และจดท าปายเตอนตางๆ ๒) อบรมขนตนส าหรบพนกงานทกคนในแผนปองกนและระงบอคคภย และมการ

ซอมดบเพลงการหนไฟ ๓) ตดตงเครองดบเพลงส าหรบอปกรณอเลกทรอนกสส าหรบหองคอมพวเตอรแม

ขาย ๔) จดท าเครองหมายระบความส าคญตามล าดบของอปกรณคอมพวเตอรแมขาย

เพอประสทธภาพในการเคลอนยายเมอเกดเหตฉกเฉน

Page 69: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๕๑

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

๔.๑.๑.๒ การปองกนอทกภยและการปองกนความชนและอณหภมทไมเหมาะสม การด าเนนการ ดงน

๑) เปดเครองปรบอากาศและเครองควบคมความชน ส าหรบเครองแมขายตลอด ๒๔ ชวโมง และตรวจสอบการท างานใหใชงานไดอยางสม าเสมอ

๒) ตรวจสอบการรวซมของหลงคาอาคารเพอปองกนการรวซมของน าฝนทคางสะสม

๓) เครองคอมพวเตอรแมขายตองไมอยในบรเวณทน าทวมถง ๔.๑.๒ การโจรกรรมอปกรณคอมพวเตอรแมขายทเปนสวนของการจดเกบและรวบรวมขอมล

การด าเนนการ ๑) ควบคมการเขาออกหองคอมพวเตอรแมขายและการปองกนความเสยหาย โดยหาม

บคคลทไมมอ านาจหนาทเกยวของ เขาไปในหองคอมพวเตอรแมขาย หากจ าเปนใหมเจาหนาทของฝายเทคโนโลยสารสนเทศ เปนผรบผดชอบน าเขาไป

๒) จดใหมระบบรกษาความปลอดภยในการเขาถงอปกรณคอมพวเตอรแมขาย เชน เครองตรวจสอบลายนวมอ (Finger Scan) และมการตรวจสอบการทางานของระบบใหใชงานไดอยเสมอ

๓) ตดตงกลองวงจรปด และสงสญญาณภาพมาไวทจอภาพสวนกลาง ๔.๑.๓ ระบบการสอสารของเครองแมขายทเชอมตอระบบอนเทอรเนตเกดความขดของ

การด าเนนการ ๑) การตรวจสอบระบบเครอขายทงภายในและภายนอกอาคารใหสามารถใชงานได

ตลอดเวลา ๒) ตองจดใหมเครอขายส ารอง ส าหรบใชในกรณทเครองแมขายหลกไมสามารถใชงานได

๔.๑.๔ ระบบกระแสไฟฟาขดของ / ไฟฟาดบ การด าเนนการ ๑) แยกไฟระบบคอมพวเตอรแมขายออกจากสายไฟหลกทผานสะพานไฟเขาสหนวยงาน ๒) ตดตงเครองส ารองไฟฟาและปรบแรงดนอตโนมต (UPS) เพอปองกนความเสยหายทอาจ

เกดขนกบอปกรณคอมพวเตอรหรอการประมวลผลของระบบคอมพวเตอร ทงในสวนของเครองคอมพวเตอรแมขาย (Server) และเครองคอมพวเตอรสวนบคคล (PC) ซงตองมระยะเวลาในการส ารองไฟฟาไดไมนอยกวา ๓๐ นาท

๓) เปดเครองส ารองไฟฟาตลอดระยะเวลาในการใชงานเครองคอมพวเตอรและบ ารงรกษาเครองส ารองไฟฟาใหอยในสภาพพรอมใชงานเสมอ ตรวจสอบระบบส ารองไฟฟาทกวนศกร

๔) เมอเกดกระแสไฟฟาดบ ใหผใชบนทกขอมลทยงคางอยทนท และปดเครองคอมพวเตอร รวมทงอปกรณตางๆ

๔.๑.๕ การบกรกหรอโจมตจากภายนอก เพอเขาถงหรอควบคมระบบเทคโนโลยสารสนเทศรวมทงสรางความเสยหายหรอท าลายระบบขอมล

Page 70: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๕๒

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

การด าเนนการ ๑) สแกนหาจดออนและอพเดท Patch เพอปดกนชองโหวและจดออน โดยใชซอฟตแวร

เพอเปนเครองมอในการคนหาชองโหว ๒) ตดตง Firewall เพอปองกนผทมไดรบอนญาตจากระบบเครอขายอนเทอรเนตและ

อนทราเนต สามารถเขาสระบบเทคโนโลยสารสนเทศ และเครอขายคอมพวเตอรขององคกรได โดยจะตองเปดใชงาน Firewall ตลอดเวลา

๓) ตดตง Proxy Server เพอเพมประสทธภาพในการใหบรการอนเทอรเนตขององคกร และกลนกรองขอมลทมาทาง website ซงจะมการก าหนดคา Configuration ใหมความปลอดภยตอระบบเทคโนโลยสารสนเทศและเครอขายคอมพวเตอร

๔) จดเจาหนาทดแลระบบเครอขาย ตรวจสอบปรมาณขอมลบนเครอขายอนเทอรเนตและอนทราเนตขององคกร เพอสงเกตปรมาณขอมลบนเครอขายวามปรมาณมากผดปกต หรอการเรยกใช ระบบเทคโนโลยสารสนเทศ มความถในการเรยกใชผดปกต เพอจะไดสรปหาสาเหต และปองกนตอไป

๕) ตดตงระบบปองกนไวรสคอมพวเตอรใหทนสมย และอพเดทอยางสม าเสมอ และปดพอรตทไมมการใชงาน

๖) ก าหนดรหสผานเพอปองกนการเขาถงระบบโดยไมไดรบอนญาต โดยปฏบตดงน - ตงรหสผานทยากตอการเดาโดยผอน - ไมเปดเผยรหสผานของตนเองแกผอน - จดเกบรหสผานไวในสถานททมความปลอดภย - เปลยนรหสผานโดยทนท เมอทราบวารหสผานของตนอาจถกเปดเผยหรอลวงร

โดยผอน - ตงรหสผานทมความยาวขนต าอยางนอย ๘ อกขระ - ตงรหสผานโดยใชเทคนคสวนตวทงายตอการจ ารหสผานทไดก าหนดไว - ไมตงรหสผานจากค าทปรากฎในพจนานกรม - ไมตงรหสผานทประกอบดวยอกขระทเรยงกน เชน ๑๒๓, abcd เปนตน หรอ

เปนกลมของตวอกขระทเหมอนกน เชน ๑๑๑๑๑, aaa, bbb เปนตน - เปลยนรหสผานใหมตามรอบระยะเวลาทก าหนดไว เชน ทก ๆ ๖ เดอน สวนใน

กรณของผดแลระบบ ใหเปลยนรหสผานใหมดวยความถทมากกวาผใชงานทวไป เชน ทก ๆ ๓ เดอน เปนตน

- เปลยนรหสผานโดยหลกเลยงการใชรหสผานเดมทเคยตงมาแลว - เปลยนรหสผานชวคราวทไดรบโดยทนทครงแรกทท าการลอกอนเขาส

ระบบงาน

Page 71: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๕๓

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

- ไมใหระบบงานท าการบนทกหรอจดจ ารหสผานของตนเองไว เชน บนทกไวในหนาจอลอกอน (ทงนเพอความสะดวกของตนเองเมอท าการลอกอนในภายหลง จะไดไมตองใสรหสผานอกครง)

- ไมใชรหสผานของตนเองรวมกบผอน - หลกเลยงการใชรหสผานเดยวกนส าหรบระบบงานตาง ๆ ทตนใชงาน - ปองกนการปลอมแปลง IP address โดยการกรอง packet ทมาจากภายนอก

โดยการน าระบบ DMZ มากรอง IP ทจะเขามายงระบบเครอขาย - ตดตงระบบใหอปกรณเครอขายสามารถปองกนการโจมตแบบ DOS และ

DDOS ๔.๑.๖ ไวรสคอมพวเตอร

การด าเนนการ ๑) ตดตงโปรแกรมปองกนไวรสและอพเดทขอมลไวรสอยเสมอ และตองใชโปรแกรม

เพอตรวจหาไวรสอยางนอยสปดาหละหนงครง ๒) ระวงภยจากการเปดไฟลจากสอบนทกขอมลตางๆ

- สแกนหาไวรสจากสอบนทกขอมลกอนใชงานทกครง - ไมควรเปดไฟลทมนามสกลแปลกปลอม หรอนาสงสย - ไมใชสอบนทกขอมลทไมทราบแหลงทมา

๓) ใชความระมดระวงในการเปด e-Mail - ไมเปดไฟล e-Mail ถาไมทราบแหลงทมา - ลบ e-Mail ทงทนทถาไมทราบแหลงทมา

๔) ระมดระวงการดาวนโหลดไฟลตางๆ จากอนเทอรเนต - ไมควรเปดไฟลทไมรจก ทแนบมากบโปรแกรมสนทนาตางๆ - ไมควรเปด website ทแนะน ามาทาง e-Mail - ไมดาวนโหลดไฟลจาก website ทไมนาเชอถอ - ตดตามขอมลการแจงเตอนการโจมตของไวรสตางๆ อยางสมาเสมอ - หลกเลยงการแชรไฟลโดยไมจ าเปน

๔.๒ ภยพบตจากภายใน ๔.๒.๑ ระบบแมขายหลก ระบบฐานขอมลหลกเสยหาย หรอขอมลถกท าลาย

การด าเนนการ ๑) การส ารองขอมลอตโนมต โดยระบบเครองประมวลผลแมขายจะส ารองขอมลไวในสอ

บนทกขอมลทกวน

Page 72: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๕๔

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

๒) การส ารองขอมลดวยระบบ Manual โดยก าหนดใหเจาหนาทส ารองขอมลตามระยะเวลาทกาหนดทกสปดาห โดยจะส ารองขอมล โครงสรางขอมล Source Code และบนทกขอมลลงในสอบนทก

๓) ทดสอบ Recovery ขอมล โครงสราง และโปรแกรมปฏบตการฐานขอมล ทไดส ารองไวในสอบนทก ทกสปดาห

๔) ทดสอบ Recovery ฐานขอมลและโปรแกรมปฏบตการฐานขอมล และระบบปฏบตการของเครองแมขายส ารองทไดส ารองไว เพอทดสอบระบบการท างานเมอเครองแมขายหลกเสยหาย

๕) จดเจาหนาทในการบ ารงรกษาสอบนทกขอมลของเครองคอมพวเตอรแมขาย เพอลดความเสยหายของขอมล

๔.๒.๒ ไวรสคอมพวเตอรจากผใชงานภายในองคกร การด าเนนการ ๑) ตดตงโปรแกรมปองกนไวรสทเครองแมขายและลกขายเพอใหสามารถตรวจสอบได ๒) ตดตงโปรแกรมปองกนไวรสและอพเดทขอมลไวรสอยเสมอ ๓) หลกเลยงการแชรไฟลโดยไมจ าเปน

๔.๒.๓ เจาหนาทหรอบคลากรของหนวยงานขาดความรความเขาใจในการใชเครองมออปกรณคอมพวเตอรทงดานฮารดแวร และซอฟตแวร อนอาจท าใหระบบเทคโนโลยสารสนเทศเสยหาย ใชงานไมได หรอหยดการท างานการด าเนนการ

๑) ใหความรแกบคลากรและหนวยงานผานชองทางตางๆ เชน website, หนงสอเวยน เปนตน

๒) ใสกญแจตอปกรณเครอขาย เพอปองกนการเชอมตอโดยเจาหนาท หรอบคลากรทไมมหนาทโดยตรง (Unauthorized Personals) ๕. ขนตอนปฏบตในมาตรการทส าคญ

๕.๑ การส ารองขอมล (Back Up) ๑) การส ารองขอมลอตโนมตโดยระบบเครองประมวลผลแมขายโดยส ารองขอมลไวในสอบนทก

๑ ชด ๒) การส ารองขอมลดวยระบบ Manual โดยก าหนดใหเจาหนาทส ารองขอมลตามระยะเวลาท

ก าหนดเปนประจ าทกสปดาห โดยส ารองขอมล โครงสรางขอมล และ Source Code และบนทกขอมลลงในสอบนทก

๕.๒ การกขอมล (Recovery) ๑) ทดสอบ Recovery ขอมล โครงสราง และโปรแกรมปฏบตการฐานขอมล ทไดส ารองไวในสอ

บนทกขอมล ๒) ทดสอบ Recovery ฐานขอมล และโปรแกรมปฏบตการฐานขอมล ทไดส ารองไวในสอบนทก

ขอมล

Page 73: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๕๕

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

๖. ขอปฏบตในการแกไขปญหาจากภยพบต ๖.๑ กรณเครองลกขาย

๑) ในกรณทมเหตท าใหเครองคอมพวเตอรไมสามารถด าเนนการใหงานระบบเทคโนโลยสารสนเทศไดตามปกต ใหเจาหนาทผนนแจงเหตใหเจาหนาทผเกยวของ หรอผดแลทราบ หรอกรณมเหตอนท าใหเจาหนาทผเกยวของไมสามารถด าเนนการใหบรการดานเครอขายได จะตองประกาศใหทกหนวยงานในสงกดทราบ

๒) กรณเกดการขดของเนองจากตดไวรสคอมพวเตอรเพอปองกนความเสยหายทจะแพรกระจายไปยงเครองคอมพวเตอรอนๆ ในระบบเครอขาย ใหปลดสายเชอมโยงระบบเครอขาย (LAN) ออกจากเครองโดยทนท

๓) ในกรณทเกรงวาเหตทเกดขน จะเปนอนตรายตอหนวยงานภายในอาคารทตงของเครองคอมพวเตอรทพบการขดของ ใหปลดสาย LAN ออกจากจดชมสายในชนนนออก

๔) ใหเจาหนาททเกยวของแจงเหตขดของนนใหหวหนา หรอผบงคบบญชาทราบโดยเรว ๖.๒ กรณเครองแมขายและอปกรณเครอขาย

๑) ตดการเชอมตอระบบเครอขายโดยเรว แลวปดอปกรณเครอขายและเครองคอมพวเตอรแมขาย ตามส าดบความส าคญของการใหบรการ

๒) ถาไฟฟาดบ/ไฟฟาตก ใหปดเครองคอมพวเตอรแมขายและอปกรณเครอขาย โดยพจารณาตามความส าคญของการใหบรการ ระยะเวลาทเกดปญหาทางไฟฟา และประสทธภาพของเครองส ารองไฟฟา

๓) ปดระบบจายไฟ ในกรณไฟไหม ใหใชน ายาดบเพลงฉดควบคมเพลงโดยเรว ๔) ขนยายอปกรณไปไวในททปลอดภย ๕) ประสานขอความชวยเหลอกบผเชยวชาญทรบผดชอบดแลเครองคอมพวเตอรแมขายและ

ระบบเครอขายโดยเรว ๖) ในกรณทอปกรณดานฮารดแวรเสย ใหรบจดหาอปกรณส ารองหรอแจงบรษททรบผดชอบ

น าอปกรณมาเปลยนใหโดยเรว ๗) ผดแลระบบตองแจงใหผบงคบบญชาทราบโดยเรว ตามล าดบชน

๖.๓ กรณเครองคอมพวเตอรลกขายตดไวรส ๑) เจาหนาทผใชเครองคอมพวเตอรนนๆ ปลดสาย LAN ออกจากเครองคอมพวเตอรเพอตด

การเชอมตอกบระบบเครอขาย ๒) สแกนและก าจดไวรสดวยโปรแกรมปองกนไวรส ๓) แจงเจาหนาททเกยวของเพอท าการตรวจสอบ

๖.๔ หลกปฏบตของบคลากรในการปองกนอคคภย หรอเมอเกดอคคภย ๑) ไมกระท าการใดๆ อนจะน าไปสการเกดอคคภยในอาคาร ๒) ควรศกษาเรองต าแหนงการหนไฟ เสนทางหนไฟ ทางออกจากตวอาคาร การตดตง

อปกรณทเกยวกบความปลอดภยจากเพลงไหมและการหนไฟอยางละเอยด

Page 74: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๕๖

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

๓) ควรหาทางออกฉกเฉนสองทางทใกลกบหองท างาน ตรวจสอบทางออกฉกเฉนมใหปดตาย หรอมสงกดขวาง และสามารถใชเปนเสนทางจากภายในอาคารไดอยางปลอดภย ใหนบจ านวนประตหองโดยเรมจากหองท างานตนเองไปยงทางออกฉกเฉน เพอใหสามารถไปไดแมวาไฟดบหรอปกคลมไปดวยควน

๔) เมอเกดเพลงไหม ใหหาต าแหนงสญญานเตอนเพลงไหม เปดสญญานเตอน จากนนออกจากอาคารแลวแจงหนวยดบเพลงทนท

๕) เมอไดยนสญญานเตอนเพลงไหม ใหรบหาทางหนออกจากอาคารทนท ๖) หากเพลงไหมในหองท างาน ใหออกจากประต ปดประต แลวแจงหนวยดบเพลงทนท ๗) หากเกดเพลงไหมนอกหองท างาน กอนออกจากอาคารใหวางมอบนประต หากประตม

ความเยน คอยๆ เปดประต แลวไปยงทางหนไฟฉกเฉนทใกลทสด ๘) หากเพลงไหมอยบรเวณใกลประตจะมความรอนหามเปดประตโดยเดดขาด ใหรบแจง

หนวยดบเพลงและแจงใหทราบวาทานอยทใดของอาคารซงเกดเพลงไหม หาผาเปยก ปดทางเขาของควน ปดพดลมและเครองปรบอากาศ สงสญญานขอความชวยเหลอทหนาตาง

๙) เมอตองเผชญกบควนไฟ ใหคลานไปยงทางออกฉกเฉน ๑๐) หามใชลฟทขณะเกดเพลงไหม

๖.๕ ระบบปองกนและแกปญหาทเกดจากกระแสไฟฟา เนองจากเครองคอมพวเตอรและอปกรณเครอขายสวนใหญ มความไวตอความผดปกตของ

กระแสไฟฟามาก ดงนนสงทมกจะเกดขนและยากตอการหลกเลยงคอ ผลกระทบตางๆ ทเกดจากปญหาทางไฟฟา เชน การช ารดและเสยหายของอปกรณคอมพวเตอร หรอการสญหายของขอมลทส าคญ รวมถงการเสยเวลาจากผลกระทบทเกดจากปญหาทางไฟฟา แนวทางในการปฏบตเพอปองกนเหตดงกลาวประกอบดวย

๑) เปดใชงานเครองส ารองไฟฟาและปรบแรงดนไฟฟาอตโนมต (UPS) ตลอดระยะเวลาใน การใชงานเครองคอมพวเตอรแมขาย และเครองคอมพวเตอรสวนบคคล

๒) เมอกระแสไฟฟาดบ ใหรบท าการบนทกขอมลทนท และปดเครองคอมพวเตอรและอปกรณในภายหลง ๗. แผนกคนระบบคอมพวเตอรกลบสสภาวะปกตเดม

การกคนระบบเครองคอมพวเตอรแมขายและอปกรณเครอขาย โดยปกตเครองคอมพวเตอรแมขายและอปกรณเครอขาย ตองอยในสภาพทพรอมรองรบการใหบรการกบเครองลกขายตางๆ ไดตลอดเวลา หากไมสามารถใหบรการได ตองรบกระบบคนใหไดเรวทสด เพอใหระบบการท างานของเครองคอมพวเตอรและขอมลกลบสสภาพเดม เมอระบบเสยหายหรอหยดท างาน ใหด าเนนการ ดงน

๑) จดหาอปกรณ/ชนสวน เพอทดแทน ๒) เปลยนอปกรณ/ชนสวนทเสยหาย ๓) ซอมบ ารงวสดอปกรณทเสยหาย ใหเสรจภายใน ๔๘ ชวโมง ๔) จดหาอปกรณคอมพวเตอรจากแหลงอนมาใชงานเปนการชวคราว ๕) น าสอบนทกขอมลทไดส ารองขอมลไวกลบมา Recovery โดยเรว

Page 75: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา|๕๗

นโยบายแผนรบสถานการณฉกเฉนจากภยพบต ระบบเทคโนโลยสารสนเทศและการสอสาร(IT Contingency Plan)

๖) ตรวจสอบระบบปฏบตการ ระบบฐานขอมล ตรวจสอบความถกตองของขอมลและระบบอนๆ ทเกยวของ

๘. ผรบผดชอบ

๘.๑ ระดบนโยบาย ผบรหารเทคโนโลยสารสนเทศระดบสงของหนวยงาน (CIO) รบผดชอบในการก าหนดนโยบาย ให

ขอเสนอแนะ ค าปรกษา ตลอดจนตดตาม ก ากบดแล ควบคม ตรวจสอบ เจาหนาทในระดบปฏบต ๘.๒ ระดบปฏบต เจาหนาทผดแลระบบของหนวยงาน รบผดชอบ ก ากบดแล ปฏบต ศกษาทบทวน วางแผน ตดตาม

บรหารความเสยงและรกษาความปลอดภยระบบเทคโนโลยสารสนเทศ

๙. การตดตามและรายงานผล ก าหนดใหเจาหนาทผรบผดชอบรายงานผลการด าเนนการหรอการตรวจสอบใหผบงคบบญชาทราบ

เปนประจ าทกเดอน และใหรายงานการเกดปญหาและผลการแกไขใหทราบในทนททสามารถด าเนนการได ในทกกรณตามทไดระบไว

Page 76: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๕๘

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

สวนท ๕

นโยบายแผนบรหารความเสยง ส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

๑.วตถประสงค ๑.๑ เพอลดมลเหตของโอกาสทองคกรจะเกดความเสยหาย ทงในรปแบบของตวเงนและไมใชตวเงน ๑.๒ เพอใหระดบความเสยงและขนาดของความเสยหายทเกดขนอยในระดบทองค กรยอมรบได

ควบคมได และตรวจสอบไดอยางมระบบโดยค านงถงการบรรลเปาหมายขององคกรหรอยทธศาสตรเปนส าคญ

ผรบผดชอบ

๑. ส านกวทยบรการและเทคโนโลยสารสนเทศ ๒. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน

- นโยบาย

๑. มหาวทยาลยจะตองจดท าแนวปฏบตในการบรหารความเสยงทหนวยงานนนรบผดชอบ เปนประจ าทกป

๒. มหาวทยาลยจะตองวเคราะห วางแผนบรหารความเสยง และจดท าแผนบรหารความเสยงดานเทคโนโลยสารสนเทศ

๓. ตองจด ใหม การตรวจสอบและประเมนความ เส ย งด านสารสนเทศท อาจ เก ดข น กบระบบสารสนเทศ (Information Security Audit and Assessment) อยางนอยปละ ๑ ครง

๔. ในการตรวจสอบและประเมนความเสยง จะตองด าเนนการโดยผตรวจสอบภายในของหนวยงาน (Internal Auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (External Auditor) เพอใหหนวยงานไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยสารสนเทศ

๕ การก าหนดหนาทและผรบผดชอบในการจดการความเสยง รวมถงตดตาม ควบคม และสรปการด าเนนงานดานบรหารความเสยงดานเทคโนโลยสารสนเทศตอมหาวทยาลย โดยหนวยงานตรวจสอบภายในของมหาวทยาลย

๖. รายงานผลการด าเนนการตอผบรหารของหนวยงาน อยางนอยปละ ๑ ครง ๗. มการทบทวนระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉนทเพยงพอ

ตอสภาพความเสยงทยอมรบไดของแตละหนวยงาน เปนประจ าทกป

Page 77: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๕๙

ตารางท ๑ การก าหนดวตถประสงคของงานตามพนธกจของหนวยงาน และวตถประสงคของขนตอนหลก

งาน วตถประสงคของงาน ขนตอนหลก วตถประสงคของขนตอนหลก ความเสยงดานสวสดการในชวตและทรพยสน โครงการจดหาทรพยากรสารสนเทศ

วตถประสงค ๑ .บ ร ก า รทร พย ากรสารสน เทศแกน ก ศ ก ษ า อ า จ า ร ย บ ค ล า ก ร แ ล ะบคคลภายนอก ๒.เปนแหลงศกษา คนควาขอมลใหกบน ก ศ ก ษ า อ า จ า ร ย บ ค ล า ก ร แ ล ะบคคลภายนอก

จดหาทรพยากรสารสนเทศทสอดคลองกบการจดการเรยนการสอนของมหาวทยาลย

วตถประสงค : เพอสนบสนนการจดการเรยนการสอนของแตละคณะและหลกสตร

กา ร ใ หบ ร ก า รส บ ค น ค น ค ว า ผ า นอนเทอรเนตดวยเครองคอมพวเตอร

วตถประสงค : เพอบรการสบคน และคนควา ออนไลน

ใหบรการใชเครองคอมพวเตอร PC

วตถประสงค : เพอสนบสนนการศกษา คนคว าของนกศกษาบคลากร และบคคลภายนอก

ความเสยงดานการเงน การบรหารจดการแผนและงบประมาณ

วตถประสงค : เพอใหการบรหารจดการดานแผนและงบประมาณมประสทธภาพ

การด าเนนงานตามปฏทน (Gantt Chart)

วตถประสงค : เพอใหการด าเนนงานเปนไปตามแผนทก าหนดไว

ความเสยงดานยทธศาสตร กลยทธ การพฒนาระบบเทคโนโลยสารสนเทศเพอสงเสรมความเปนพลวต

วตถประสงค : เพอใหการบรหารจดการดานเทคโนโลยสารสนเทศสอดรบกบการด าเนนงานของมหาวทยาลย

การพฒนาระบบเทคโนโลยสารสนเทศเพอสงเสรมการเปนพลวต

วตถประสงค : เพอใหมระบบเทคโนโลยสารสนเทศททนสมยและสามารถใชในการบรหารงานไดอยางคลองตว

ความเสยงดานการปฏบตตามและไมปฏบตตามกฎหมายหรอกฎระเบยบ ใหความรในเรองการกระท าความผดตามพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐

วตถประสงค : เพ อ ใ หนกศกษาและบคลากรของมหาวทยาลยมความรความ

เ ผ ย แ พ ร แ ล ะ ใ ห ค ว า ม ร เ ก ย ว ก บพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐

วตถประสงค : เพอสรางสอประชาสมพนธและรณรงคการใชคอมพวเตอรใหถกตองตามระเบยบขอปฏบต

SDU_RM ๑

Page 78: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖๐

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

งาน วตถประสงคของงาน ขนตอนหลก วตถประสงคของขนตอนหลก เ ข า ใ จ เ ก ย ว ก บ ก ฎ ห ม า ย ท า ง ด า นคอมพวเตอร

ความเสยงดานบคลากรและหลกธรรมาภบาล การถายโอนอตราก าล งจากภาครฐสภาคเอกชน

วตถประสงค : เพอสรางแรงจงใจใหกบบคลากรในการปฏบตงาน

การปฏบตงานเชยวชาญเฉพาะดานทางเทคโนโลยสารสนเทศ

วตถประสงค : เพอรองรบบคลากรทมความเชยวชาญเฉพาะดาน

ความสยงดานเทคโนโลยสารสนเทศ พฒนาเวบไซตตนแบบของหนวยงานภายในมหาวทยาลย

วตถประสงค : เพ อพฒนา เวบไซตทส า ม า รถ เป นม าตรฐาน เด ย วก นท กหนวยงานในมหาวทยาลย

รวบรวมและตรวจสอบขอมลความตองการพนฐานรวมกนดานตางๆ จากหนวยงานในมหาวทยาลย

วตถประสงค : เพอใหไดขอมลทถกตองและมรปแบบเวบไซตท เปนมาตรฐานส าหรบหนวยงานตางๆ ของมหาวทยาลย

ค ว า ม ป ล อ ด ภ ย ใ น ก า ร ใ ช เ ค ร อ งคอมพวเตอรของมหาวทยาลย

ว ต ถ ป ร ะ ส ง ค : เ พ อ ด แ ล อ ป ก ร ณคอมพวเตอรและความปลอดภยจากการโจมตโดยไวรสคอมพวเตอร

๑.๑.๑ เพมความเขมงวดในการใชอปกรณตอพวงประเภทจดเกบขอมลแบบพกพา ๑.๑.๒ เพมความเขมงวดในการเขาถงระบบเวปไซตภายนอกตางๆ

วตถประสงค : เพอใหการด าเนนงานดานคอมพวเตอรเปนไปอยางตอเนอง

ความพรอมของเทคโนโลยสารสนเทศ

วตถประสงค : เพอใหระบบสารสนเทศของมหาวทยาลยมความพรอมและเกดประ โยชนส งส ด ในการใ หบร การแกนกศกษา

๑.๑.๑ ส ารวจความพรอมของระบบสารสนเทศ ๑.๑.๒ ด าเนนการงานตามวตถประสงค ๑.๑ .๓ ต ดตามและประ เมนผลการใหบรการแกนกศกษา

วตถประสงค : เพอใหการด าเนนงานดานคอมพวเตอรเปนไปอยางตอเนอง

Page 79: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖๑

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ตารางท ๒ การระบความเสยง และปจจยเสยง

ขนตอนหลก วตถประสงคของขนตอน ความเสยง ปจจยเสยง ความเสยงดานสวสดการในชวตและทรพยสน จดหาทรพยากรสารสนเทศทสอดคลองกบการจดการเรยนการสอนของมหาวทยาลย

วตถประสงค : เพอสนบสนนการจดการเรยนการสอนของแตละคณะและหลกสตร

ฉกและท าลายทรพยากรสารสนเทศจนหนงสอเกดความเสยหาย

๑.๑.๑ ผ ใชบรการขาดความตระหนกเกยวกบการยม-คนหนงสอ ๑.๑.๒ ผใชบรการไมปฏบตตามระเบยบการใชหองสมดอยางเครงครด

ใหบรการใชเครองคอมพวเตอร PC

วตถประสงค : เพอสนบสนนการศกษา คนคว าของน กศ กษาบคลากร และบคคลภายนอก

อปกรณภายในเครองคอมพวเตอรถกโจรกรรม

๑.๑.๑ ผใชบรการขาดจตส านกในการใชบรการคอมพวเตอรของมหาวทยาลย ๑.๑.๒ มลคาของอปกรณมราคาสง

ความเสยงดานการเงน การด าเนนงานตามปฏทน (Gantt Chart) วตถประสงค : เพอใหการด าเนนงานเปนไป

ตามแผนทก าหนดไว การด าเนนโครงการไมเปนไปตามแผนท าใหงบประมาณทเตรยมไวไมเพยงพอ

นโยบายการด าเนนงานเปลยนแปลงเพอใหสอดคลองกบเหตการณปจจบน

ความเสยงดานยทธศาสตร กลยทธ การพฒนาระบบเทคโนโลยสารสนเทศเพอสงเสรมการเปนพลวต

วตถประสงค : เพอใหมระบบเทคโนโลยสารสนเทศททนสมยและสามารถใชในการบรหารงานไดอยางคลองตว

การดงขอมลพนฐานจากฐานขอมลตางๆ ของมหาวทยาลยไมทนกบความตองการของผบรหารหรอคณะกรรมการประเมนคณภาพตางๆ

ฐานขอมลในแตละหนวยงานมรปแบบโครงสรางทแตกตางกน

ความเสยงดานการปฏบตตามและไมปฏบตตามกฎหมายหรอกฎระเบยบ เ ผ ย แ พ ร แ ล ะ ใ ห ค ว า ม ร เ ก ย ว ก บพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐

วตถประสงค : เพอสรางสอประชาสมพนธและรณรงคการใชคอมพวเตอรใหถกตองตามระเบยบขอปฏบต

นกศกษา อาจารยและบคลากรละเลยการปฏบตตามพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ โดยไมมเจตนา

๑.๑.๑ บคลากร นกศกษา บางสวนยงขาดความใสใจตระหนกถงโทษทไดรบเกยวกบการกระท าความผดตามพระราชบญญตวา

SDU_RM ๒

Page 80: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖๒

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ขนตอนหลก วตถประสงคของขนตอน ความเสยง ปจจยเสยง ด ว ย ก า ร ก ร ะ ท า ค ว า ม ผ ด เ ก ย ว ก บคอมพวเตอร พ.ศ.๒๕๕๐ ๑.๑.๒ ผโจรกรรมขอมลทางคอมพวเตอรใชพนทในการกระท าผดตอความมนคงของประเทศ หรอหมนประมาทผอนท าใหไดรบความเสยหาย

ความเสยงดานบคลากรและหลกธรรมาภบาล การปฏบตงานเชยวชาญเฉพาะดานทางเทคโนโลยสารสนเทศ

วตถประสงค : เพอรองรบบคลากรทมความเชยวชาญเฉพาะดาน

บคลากรทมความเชยวชาญเฉพาะดานมการเปลยนยายงานตามแรงจงใจจากภายนอก

๑.๑.๑ ส ง เสรมการไดรบคาตอบแทนเชยวชาญเฉพาะดาน ๑.๑.๒ สนบสนนการพฒนาบคลากรใหมความกาวหนาในสายงาน

ความเสยงดานเทคโนโลยสารสนเทศ รวบรวมและตรวจสอบขอมลความตองการพนฐานดานตางๆ จากหนวยงานในมหาวทยาลย

วตถประสงค : เพอใหไดขอมลทถกตองและเปนปจจบนตรงกบความตองการของหนวยงานตางๆ

ความตองการหรอขอมลทแตกตางกนมากของแตละหนวยงาน

เวบไซตตนแบบไมสามารถตอบสนองความตองการของทกหนวยงานได

๑.๑ เพมความเขมงวดในการใชอปกรณตอพวงประเภทจดเกบขอมลแบบพกพา ๑.๒ เพ มความเขมงวดในการเข าถ งระบบเวปไซตภายนอกตางๆ

วตถประสงค : เพอใหการด าเนนงานดานคอมพวเตอรเปนไปอยางตอเนอง

เครองคอมพวเตอรตดไวรสโดยไมทราบสาเหต

คอมพวเตอรไมตดตงหรอ update โปรแกรมปองกนไวรส

๑ .๑ ส า ร ว จคว ามพร อมของ ระบบสารสนเทศ ๑.๒ ด าเนนการงานตามวตถประสงค ๑.๓ ตดตามและประเมนผลการใหบรการแกนกศกษา

วตถประสงค : เพอใหการด าเนนงานดานคอมพวเตอรเปนไปอยางตอเนอง

เครองคอมพวเตอรมไมเพยงพอตอการใหบรการกบนกศกษา

๑ . ๑ . ๑ ก า ร ห ม ด ส ญ ญ า เ ช า เ ค ร อ งคอมพวเตอรของมหาวทยาลยและยงไมมการจดเครองใหมมาทดแทน สญญาณ wireless มปญหา

Page 81: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖๓

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ขนตอนหลก วตถประสงคของขนตอน ความเสยง ปจจยเสยง ๑.๑.๒ บคลากรผดแลการบรการดานคอมพวเตอรไมเพยงพอ

Page 82: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖๔

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ตารางท ๓ การประเมนความเสยง

ขนตอนหลก

วตถประสงคของขนตอน

ความเสยง

ปจจยเสยง

การประเมนความเสยง โอกาส ผล

กระทบ ระดบ ความเสยง

ล าดบ ความเสยง

จ ด ห า ท ร พ ย า ก รส า ร ส น เ ท ศ ทส อ ด ค ล อ ง ก บ ก า รจดการเรยนการสอนของมหาวทยาลย

ว ต ถ ป ร ะส งค : เ พ อสนบสนนการจดการเรยนการสอนของแตละคณะและหลกสตร

ฉ ก แ ล ะ ท า ล า ย ท ร พ ย า กรสารสนเทศจนหนงสอเกดความเสยหาย

๑ .๑ .๑ ผ ใ ช บ ร ก า รข าดความตระหนกเกยวกบการยม-คนหนงสอ ๑.๑.๒ ผ ใชบรการไมปฏบตตามระ เบ ยบการใช ห องสม ดอย า งเครงครด

๕ ๕ สงมาก ๒

ใ หบรการใช เคร อ งคอมพวเตอร PC

ว ต ถ ป ร ะส งค : เ พ อสน บ สน น ก า รศ กษา คนคว าของนกศกษาบ ค ล า ก ร แ ล ะบคคลภายนอก

อ ป ก ร ณ ภ า ย ใ น เ ค ร อ งคอมพวเตอรถกโจรกรรม

๑.๑.๑ ผใชบรการขาดจตส านกในการใชบรการคอมพว เตอรของมหาวทยาลย ๑.๑.๒ มลคาของอปกรณมราคาสง

๕ ๕ สงมาก ๑

การด าเนนงานตามปฏทน (Gantt Chart)

วตถประสงค : เพอใหการด าเนนงานเปนไปตามแผนทก าหนดไว

การด าเนนโครงการไมเปนไปตามแผนท าใหงบประมาณทเตรยมไวไมเพยงพอ

นโยบายการด าเนนงานเปลยนแปลงเพ อ ใ หสอดคลองกบ เหตการณปจจบน

๔ ๓ สง ๔

ก า ร พ ฒ น า ร ะ บ บเทคโนโลยสารสนเทศเพอสงเสรมการเปนพลวต

วตถประสงค : เพอใหมร ะ บ บ เ ท ค โ น โ ล ยสารสนเทศททนสมยและสามารถใชในการบ ร ห า ร ง าน ไ ด อ ย า งคลองตว

ก า ร ด ง ข อ ม ล พ น ฐ า น จ า กฐ า น ข อ ม ล ต า ง ๆ ข อ งมหาวทยาลยไมทนกบความต อ งกา รของผ บ ร ห า รหร อคณะกรรมการประเมนคณภาพตางๆ

ฐานขอมลในแตละหนวยงานมรปแบบโครงสรางทแตกตางกน

๔ ๓ สง ๓

SDU_RM ๓

Page 83: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖๕

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ขนตอนหลก

วตถประสงคของขนตอน

ความเสยง

ปจจยเสยง

การประเมนความเสยง โอกาส ผล

กระทบ ระดบ ความเสยง

ล าดบ ความเสยง

เผยแพรและใหความรเกยวกบพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐

วตถประสงค : เพอสรางสอประชาสมพนธและร ณ ร ง ค ก า ร ใ ชคอมพวเตอรใหถกตองตามระเบยบขอปฏบต

นกศกษา อาจารยและบคลากรล ะ เ ล ย ก า ร ป ฏ บ ต ต า มพระราชบญญต ว าด วยการก ร ะ ท า ค ว า ม ผ ด เ ก ย ว ก บคอมพวเตอร พ.ศ.๒๕๕๐ โดยไมมเจตนา

๑.๑.๑ บคลากร นกศกษา บางสวนยงขาดความใสใจตระหนกถงโทษทไดรบเกยวกบการกระท าความผดตามพระราชบญญตวาดวยการก ร ะ ท า ค ว า ม ผ ด เ ก ย ว ก บคอมพวเตอร พ.ศ.๒๕๕๐ ๑ .๑ .๒ ผ โ จ รก ร รมข อม ลทา งคอมพวเตอรใชพนทในการกระท าผดตอความมนคงของประเทศ หรอหมนประมาทผอนท าใหไดรบความเสยหาย

๔ ๓ สง ๕

ก า ร ป ฏ บ ต ง า นเชยวชาญเฉพาะดานท า ง เ ท ค โ น โ ล ยสารสนเทศ

ว ต ถ ป ร ะส งค : เ พ อรองรบบคลากรทมความเชยวชาญเฉพาะดาน

บคลากรทมความเชยวชาญเฉพาะดานมการเปลยนยายงานตามแรงจงใจจากภายนอก

๑ . ๑ . ๑ ส ง เ ส ร ม ก า ร ไ ด ร บคาตอบแทนเชยวชาญเฉพาะดาน ๑.๑.๒ สนบสนนการพฒนาบคลากรใหมความกาวหนาในสายงาน

๓ ๓ สง ๖

รวบรวมและตรวจสอบข อม ลความต องการพนฐานรวมกนดานตางๆ จ า ก ห น ว ย ง า น ใ นมหาวทยาลย

วตถประสงค : เพอใหไดขอมลทถกตองและเปนปจจบนตรงกบความตองการของหนวยงานตางๆ

ความต องการหร อขอมลทแตกต า งกนมากของแตละหนวยงาน

เวบไซตตนแบบไมสามารถตอบสนองความตองการของทกหนวยงานได

๓ ๓ สง ๘

SDU_RM ๓

Page 84: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖๖

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ขนตอนหลก

วตถประสงคของขนตอน

ความเสยง

ปจจยเสยง

การประเมนความเสยง โอกาส ผล

กระทบ ระดบ ความเสยง

ล าดบ ความเสยง

๑.๑ เพมความเขมงวดในการใชอปกรณตอพวงประเภทจดเกบขอมลแบบพกพา ๑.๒ เพมความเขมงวดในการเขาถงระบบเวปไซตภายนอกตางๆ

วตถประสงค : เพอใหก า รด า เ น น ง านด านคอมพ ว เตอร เป น ไ ปอยางตอเนอง

เครองคอมพวเตอรตดไวรสโดยไมทราบสาเหต

คอมพวเตอรไมตดตงหรอ update โปรแกรมปองกนไวรส

๓ ๓ สง ๙

๑.๑ ส ารวจความพรอมของระบบสารสนเทศ ๑.๒ ด าเนนการงานตามวตถประสงค ๑.๓ ตดตามและประเมนผลการใหบรการแกนกศกษา

วตถประสงค : เพอใหก า รด า เ น น ง านด านคอมพ ว เตอร เป น ไ ปอยางตอเนอง

เครองคอมพวเตอรมไมเพยงพอตอการใหบรการกบนกศกษา

๑.๑.๑ การหมดสญญาเชาเครองคอมพวเตอรของมหาวทยาลยและยงไมมการจดเครองใหมมาทดแทน ๑.๑.๒ สญญาณ wireless มปญหา ๑.๑.๓ บคลากรผดแลการบรการดานคอมพวเตอรไมเพยงพอในกรณมงานซ าซอน

๓ ๓ สง ๗

SDU_RM ๓

Page 85: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖๗

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ตารางท ๔ การประเมนมาตรการควบคม

ขนตอนหลก / ปจจยเสยง

(๑)

การควบคมทควรจะม

(๒)

การควบคมทมอยแลว

(๓)

ผลการประเมนการควบคมทมอยแลววาไดผลหรอไม

(๔) ๑. จดหาทรพยากรสารสนเทศทสอดคลองกบการจดการเรยนการสอนของมหาวทยาลย - ผใชบรการขาดความตระหนกเกยวกบการยม-คนหนงสอ - ผใชบรการไมปฏบตตามระเบยบการใชหองสมดอยางเครงครด

๑.๑ ตรวจสอบการเขา-ออกเพอตรวจจบการขโมยหนงสอ ๑.๒ ประชาสมพนธภายในอาคารวทยบรการเรองการใชหองสมดอยางตอเนอง

?

๒. ใหบรการใชเครองคอมพวเตอร PC - ผ ใชบรการขาดจตส านกในการใชบรการคอมพวเตอรของมหาวทยาลย - มลคาของอปกรณมราคาสง

๑.๑ รณรงคการใชบรการเครองคอมพวเตอร PC ๑.๒ ควบคมการใหบรการโดยกลองวงจรปด หากมเหตการณผดปกต

?

๓. การด าเนนงานตามปฏทน (Gantt Chart) - นโยบายการด าเนนงานเปลยนแปลงเพอใหสอดคลองกบเหตการณปจจบน

มการคาดการณลวงหนาและมการปรบแผนการด าเนนงานใหสอดคลองกบนโยบาย

?

๔. การพฒนาระบบเทคโนโลยสารสนเทศเพอสงเสรมการเปนพลวต - ฐานขอมลในแตละหนวยงานมรปแบบโครงสรางทแตกตางกน

๑.๑.๑ ปรบปรงขอมลพนฐานและบรณาการความเชอมโยงระบบฐานขอมลจากทกหนวยงานของมหาวทยาลยเพอในการบรหารและประกนคณภาพ ๑.๑.๒ พฒนาระบบฐานขอมลของแตละหนวยงานใหมโครงสรางเดยวกน

?

SDU_RM ๔

Page 86: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖๘

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ขนตอนหลก / ปจจยเสยง

(๑)

การควบคมทควรจะม

(๒)

การควบคมทมอยแลว

(๓)

ผลการประเมนการควบคมทมอยแลววาไดผลหรอไม

(๔) ๕. เผยแพรและใหความรเกยวกบพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ - บคลากร นกศกษา บางสวนยงขาดความใสใจตระหนกถงโทษทไดรบเกยวกบการกระท าความผดตามพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ - ผโจรกรรมขอมลทางคอมพวเตอรใชพนทในการกระท าผดตอความมนคงของประเทศ หรอหมนประมาทผอนท าใหไดรบความเสยหาย

๑.๑.๑ เผยแพรประชาสมพนธบทลงโทษของการกระท าความผดเกยวกบพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ ๑.๑.๒ เพมระบบรกษาความปลอดภย ในการเขาถงหรอโจรกรรมขอมลใหรดกม

?

๖. การปฏบต งานเช ยวชาญเฉพาะดานทางเทคโนโลยสารสนเทศ - สงเสรมการไดรบคาตอบแทนเชยวชาญเฉพาะดาน - สนบสนนการพฒนาบคลากรใหมความกาวหนาในสายงาน

๑.๑.๑ สงเสรมการไดรบคาตอบแทนเชยวชาญเฉพาะดาน ๑ .๑ .๒ สน บสนนการพฒนาบคลากรใ หมความกาวหนาในสายงาน

?

๗. รวบรวมและตรวจสอบขอมลความตองการพนฐานรวมกนดานตางๆ จากหนวยงานในมหาวทยาลย - เวบไซตตนแบบไมสามารถตอบสนองความตองการของทกหนวยงานได

ประสานความรวมมอกบหนวยงานตางๆ เพอปรบรปแบบของขอมลในเวบไซตใหสอดคลองกน

?

๘.๑ เพมความเขมงวดในการใชอปกรณตอพวงประเภทจดเกบขอมลแบบพกพา

ดแลตรวจสอบโปรแกรมปองกนไวรสใหเปนปจจบนและพรอมใชงานได

?

Page 87: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๖๙

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ขนตอนหลก / ปจจยเสยง

(๑)

การควบคมทควรจะม

(๒)

การควบคมทมอยแลว

(๓)

ผลการประเมนการควบคมทมอยแลววาไดผลหรอไม

(๔) ๘.๒ เพมความเขมงวดในการเขาถงระบบเวปไซตภายนอกตางๆ - คอมพวเตอรไมตดตงหรอ update โปรแกรมปองกนไวรส ๙.๑ ส ารวจความพรอมของระบบสารสนเทศ ๙.๒ ด าเนนการงานตามวตถประสงค ๙.๓ ตดตามและประเมนผลการใหบรการแกนกศกษา - การหมดสญญาเชาเครองคอมพวเตอรของมหาวทยาลยและยงไมมการจดเครองใหมมาทดแทน - สญญาณ wireless มปญหา - บคลากรผดแลการบรการดานคอมพวเตอรไมเพยงพอในกรณมงานซ าซอน

๑.๑.๑ ใหนกศกษาน า Note Book สวนตวทไดรบจากมหาวทยาลยมาใชงานทดแทนเครองทหมดสญญาเชา ๑.๑.๒ ตรวจสอบจดอบสญญาณและปรบปรงแกไข ๑.๑.๓ มอบหมายใหนกศกษาชวยงานในโครงการของศนยสนเทศและแนะแนวการศกษาและอาชพมาชวยใหบรการ

?

เครองหมายทระบในชอง (๓) = ม = ไมม ? = มแตไมสมบรณ เครองหมายทระบในชอง (๔) = ไดผลตามทคาดหมาย = ไมไดผลตามทคาดหมาย ? = ไดผลบางแตไมสมบรณ

Page 88: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗๐

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

แผนบรหารความเสยง ประจ าปงบประมาณ พ.ศ.๒๕๖๐

ส านกวทยบรการและเทคโนโลยสารสนเทศ ความเสยงดานสวสดการในชวตและทรพยสน

โครงการ/กจกรรม วตถประสงค

(๑)

ขนตอนหลกและวตถประสงค

(๒)

ความเสยงทยงเหลออย (๓)

ปจจยเสยง

(๔)

การจดการความเสยง (๕)

ก าหนดเสรจ/ ผรบผดชอบ

(๖)

หมายเหต

(๗) โครงการจดหาทรพยากรสารสนเทศ วตถประสงค ๑.บรการทรพยากรสารสนเทศแกนกศกษา อาจารย บคลากรและบคคลภายนอก ๒.เปนแหลงศกษา คนควาขอมลใหกบนกศกษา อาจารยบคลากรและบคคลภายนอก

จดหาทรพยากรสารสนเทศทสอดคลองกบการจดการเรยนการสอนของมหาวทยาลย วตถประสงค : เพอสนบสนนการจดการเรยนการสอนของแตละคณะและหลกสตร

๑.๑ หนงสอสญหาย ๑.๒ ผใชบรการฉกหนงสอหรอวารสารทตนเองตองการ

๑.๑.๑ ผใชบรการขาดความตระหนกเกยวกบการยม-คนหนงสอ ๑.๑.๒ ผใชบรการไมปฏบตตามระเบยบการใชหองสมดอยางเครงครด

๑.๑ ตรวจสอบการ เขา-ออกเพอตรวจจบการขโมยหนงสอ ๑.๒ ประชาสมพนธภายในอาคารวทยบรการเรองการใชหองสมดอยางตอเนอง

กนยายน ๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

การใหบรการสบคน คนควา ผานอนเทอรเนตดวยเครองคอมพวเตอร วตถประสงค: เพอบรการสบคน และคนควา ออนไลน

ใหบรการใชเครองคอมพวเตอร PC วตถประสงค : เพอสนบสนนการศกษา คนควาของนกศกษาบคลากร และบคคลภายนอก

๑.๑ อปกรณประกอบของเครองคอมพวเตอร PC สญหาย เชน Mouse RAM

๑.๑.๑ ผใชบรการขาดจตส านกในการใชบรการคอมพวเตอรของมหาวทยาลย ๑.๑.๒ มลคาของอปกรณมราคาสง

๑.๑ รณรงคการใชบรการเครองคอมพวเตอร PC ๑.๒ ควบคมการใหบรการโดยกลองวงจรปด หากมเหตการณผดปกต

กนยายน ๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

Page 89: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗๑

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

แผนบรหารความเสยง ประจ าปงบประมาณ พ.ศ.๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

ความเสยงดานการเงน

โครงการ/กจกรรม วตถประสงค

(๑)

ขนตอนหลกและวตถประสงค

(๒)

ความเสยงทยงเหลออย (๓)

ปจจยเสยง

(๔)

การจดการความเสยง (๕)

ก าหนดเสรจ/ ผรบผดชอบ

(๖)

หมายเหต

(๗) การบรหารจดการแผนและงบประมาณ วตถประสงค : เพอใหการบรหารจดการดานแผนและงบประมาณมประสทธภาพ

การด าเนนงานตามปฏทน (Gantt Chart) วตถประสงค : เพอใหการด าเนนงานเปนไปตามแผนทก าหนดไว

การใชงบประมาณไมเปนไปตามแผนทก าหนดไว

นโยบายการด าเนนงานเปลยนแปลงเพอใหสอดคลองกบเหตการณปจจบน

มการคาดการณลวงหนาและมการปรบแผนการด าเนนงานใหสอดคลองกบนโยบาย

กนยายน ๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

SDU_RM ๕

Page 90: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗๒

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

แผนบรหารความเสยง ประจ าปงบประมาณ พ.ศ.๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

ความเสยงดานยทธศาสตร กลยทธ

โครงการ/กจกรรม วตถประสงค

(๑)

ขนตอนหลกและวตถประสงค

(๒)

ความเสยงทยงเหลออย (๓)

ปจจยเสยง

(๔)

การจดการความเสยง (๕)

ก าหนดเสรจ/ ผรบผดชอบ

(๖)

หมายเหต

(๗) การพฒนาระบบเทคโนโลยสารสนเทศเพอสงเสรมความเปนพลวต วตถประสงค : เพอใหการบรหารจดการดานเทคโนโลยสารสนเทศสอดรบกบการด าเนนงานของมหาวทยาลย

การพฒนาระบบเทคโนโลยสารสนเทศเพอสงเสรมการเปนพลวต วตถประสงค : เพอใหมระบบเทคโนโลยสารสนเทศททนสมยและสามารถใชในการบรหารงานไดอยางคลองตว

๑.๑ ขาดการบรณาการการใชขอมลเทคโนโลยสารสนเทศระหวางหนวยงาน

๑.๑.๑ ฐานขอมลในแตละหนวยงานมรปแบบโครงสรางทแตกตางกน

๑.๑.๑ ปรบปรงขอมลพนฐานและบรณาการความเชอมโยงระบบฐานขอมลจากทกหนวยงานของมหาวทยาลยเพอในการบรหารและประกนคณภาพ ๑.๑.๒ พฒนาระบบฐานขอมลของแตละหนวยงานใหมโครงสรางเดยวกน

กนยายน ๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

SDU_RM ๕

Page 91: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗๓

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

แผนบรหารความเสยง ประจ าปงบประมาณ พ.ศ.๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

ความเสยงดานการปฏบตตามและไมปฏบตตามกฎหมายหรอกฎระเบยบ

โครงการ/กจกรรม วตถประสงค

(๑)

ขนตอนหลกและวตถประสงค

(๒)

ความเสยงทยงเหลออย (๓)

ปจจยเสยง

(๔)

การจดการความเสยง (๕)

ก าหนดเสรจ/ ผรบผดชอบ

(๖)

หมายเหต

(๗) ใหความรในเรองการกระท าความผดตามพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ วตถประสงค : เพอใหนกศกษาและบคลากรของมหาวทยาลยมความรความเขาใจเกยวกบกฎหมายทางดานคอมพวเตอร

เผยแพรและใหความรเกยวกบพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ วตถประสงค : เพอสรางสอประชาสมพนธและรณรงคการใชคอมพวเตอรใหถกตองตามระเบยบขอปฏบต

๑.๑ บคลากร นกศกษา บางสวนยงฝาฝนพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐

๑.๑.๑ บคลากร นกศกษา บางสวนยงขาดความใสใจตระหนกถงโทษทไดรบเกยวกบการกระท าความผดตามพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ ๑.๑.๒ ผโจรกรรมขอมลทางคอมพวเตอรใชพนทในการกระท าผดตอความมนคงของประเทศ หรอหมนประมาทผอนท าใหไดรบความเสยหาย

๑.๑.๑ เผยแพรประชาสมพนธบทลงโทษของการกระท าความผดเกยวกบพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ ๑.๑.๒ เพมระบบรกษาความปลอดภย ในการเขาถงหรอโจรกรรมขอมลใหรดกม

กนยายน ๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ กนยายน ๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

SDU_RM ๕

Page 92: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗๔

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

แผนบรหารความเสยง ประจ าปงบประมาณ พ.ศ.๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

ความเสยงดานบคลากรและหลกธรรมาภบาล

โครงการ/กจกรรม วตถประสงค

(๑)

ขนตอนหลกและวตถประสงค

(๒)

ความเสยงทยงเหลออย (๓)

ปจจยเสยง

(๔)

การจดการความเสยง (๕)

ก าหนดเสรจ/ ผรบผดชอบ

(๖)

หมายเหต

(๗) การถายโอนอตราก าลงจากภาครฐสภาคเอกชน วตถประสงค : เพอสรางแรงจงใจใหกบบคลากรในการปฏบตงาน

การปฏบตงานเชยวชาญเฉพาะดานทางเทคโนโลยสารสนเทศ วตถประสงค : เพอรองรบบคลากรทมความเชยวชาญเฉพาะดาน

ขอเปรยบเทยบอตราคาตอบแทนของบคลากรภาครฐและเอกชน

๑.๑ อตราคาตอบแทนของภาคเอกชนสงกวาภาครฐ ๑.๒ คาครองชพในสถานการณปจจบนทมอตราสง

๑.๑.๑ สงเสรมการไดรบคาตอบแทนเชยวชาญเฉพาะดาน ๑.๑.๒ สนบสนนการพฒนาบคลากรใหมความกาวหนาในสายงาน

กองบรหารงานบคคล

SDU_RM ๕

Page 93: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗๕

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

แผนบรหารความเสยง ประจ าปงบประมาณ พ.ศ.๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

ความเสยงดานเทคโนโลยสารสนเทศ

โครงการ/กจกรรม วตถประสงค

(๑)

ขนตอนหลกและวตถประสงค

(๒)

ความเสยงทยงเหลออย (๓)

ปจจยเสยง

(๔)

การจดการความเสยง

(๕)

ก าหนดเสรจ/ ผรบผดชอบ

(๖)

หมายเหต

(๗) ๑. พฒนาเวบไซต

ตนแบบของหนวยงานภายในมหาวทยาลย

รวบรวมและตรวจสอบขอมลความตองการพนฐานรวมกนดานตางๆ จากหนวยงานในมหาวทยาลย วตถประสงค : เพอใหไดขอมลทถกตองและเปนปจจบนตรงกบความตองการของหนวยงานตางๆ

ความตองการหรอขอมลทแตกตางกนมากของแตละหนวยงาน

เ ว บ ไ ซ ต ต น แ บ บ ไ มสามารถตอบสนองความต อ ง ก า ร ข อ ง ท กหนวยงานได

ประสานความรวมมอก บหน วยงานต า งๆ เพอปรบรปแบบของขอมล ใน เวบ ไซต ใ หสอดคลองกน

กนยายน ๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

๒. ความปลอด ภ ย ในการ ใช เ ค ร อ งค อ ม พ ว เ ต อ ร ข อ งมหาวทยาลย วตถประสงค: เพอดแลอปกรณคอมพว เตอรและความปลอดภยจาก

๑. เพมความเขมงวดในการใชอปกรณตอพวงประเภทจดเกบขอมลแบบพกพา

๒. เพมความเขมงวดในการเขาถงระบบเวปไซตภายนอกตางๆ

ก า ร โ จ ม ต โ ด ย ไ ว ร สคอมพวเตอรมการพฒนาอยางตอเนอง

คอมพวเตอร ไมตดต งหรอ update โปรแกรมปองกนไวรส

ดแลตรวจสอบโปรแกรมป อ ง ก น ไ ว ร ส ให เ ป นปจจบนและพรมใชงานได

กนยายน ๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

SDU_RM ๕

Page 94: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗๖

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

โครงการ/กจกรรม วตถประสงค

(๑)

ขนตอนหลกและวตถประสงค

(๒)

ความเสยงทยงเหลออย (๓)

ปจจยเสยง

(๔)

การจดการความเสยง

(๕)

ก าหนดเสรจ/ ผรบผดชอบ

(๖)

หมายเหต

(๗) ก า ร โ จ ม ต โ ด ย ไ ว ร สคอมพวเตอร

วตถประสงค : เพอใหก า รด า เ น น ง านด า นคอมพ ว เ ตอร เ ป น ไปอยางตอเนอง

๓. ความพรอมข อ ง เ ท ค โ น โ ล ยสารสนเทศ วตถประสงค : เพ อ ใหระบบสารสนเทศของศนยการเรยนรางน ามค วามพร อมและ เ ก ดประโยชนสงสดในการใหบรการแกนกศกษา

๑. ส ารวจความพรอมของระบบสารสนเทศ

๒. ด าเนนการงานตามวตถประสงค

๓. ต ด ต า ม แ ล ะประเมนผลการใหบรการแกนกศกษา วตถประสงค : เพอใหก า ร ด า เ น น ง า น ด า นคอมพวเตอรเปนไปอยางตอเนอง

๑. จ านวนเคร องคอมพวเตอรยงไมเพยงพอตอการใชงานเมอเทยบกบจ านวนนกศกษา

๒. คอมพวเตอรและระบบการใชงานเกดความลาชาอยเสมอ

๓. ขาดประสทธภาพในการดแล

๑.๑ การหมดสญญาเชาเครองคอมพวเตอรของมหาวทยาลยและยงไมมการจ ด เคร อง ใหมมาทดแทน ๑.๒ สญญาณ wireless มปญหา ๑.๓ บคลากรผดแลการบรการดานคอมพวเตอรไมเพยงพอในกรณมงานซ าซอน

๑.๑.๑ ใหนกศกษาน า Note Book ส ว น ต วทไดรบจากมหาวทยาลยมาใชงานทดแทนเครองทหมดสญญาเชา ๑.๑.๒ ตรวจสอบจดอบสญญาณและปรบปรงแกไข ๑.๑ .๓ มอบหมายใหน กศ กษา ชวยงาน ในโ ค ร ง ก า ร ข อ ง ศ น ยสน เทศและแนะแนวการศกษาและอาชพมาชวยใหบรการ

กนยายน ๒๕๖๐ ส านกวทยบรการและเทคโนโลยสารสนเทศ

Page 95: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗๗

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

รายงานผลการบรหารความเสยง ประจ าปงบประมาณ พ.ศ. ๒๕๖๐

หนวยงาน ส านกวทยบรการและเทคโนโลยสารสนเทศ

ความเสยง ผลกระทบ มาตรการ สถานะการด าเนนงาน

การจดการความเสยง ปญหาและอปสรรค

ความเสยงดานสวสดการในชวตและทรพยสน

๑.๑ หนงสอสญหาย ๑.๒ ผใชบรการฉกหนงสอหรอวารสารทตนเองตองการ

๑.๑.๑ ผใชบรการขาดความตระหนกเกยวกบการยม-คนหนงสอ ๑.๑.๒ ผใชบรการไมปฏบตตามระเบยบการใชหองสมดอยางเครงครด

๑.๑ ตรวจสอบการเขา-ออกเพอตรวจจบการขโมยหนงสอ ๑.๒ ประชาสมพนธภายในอาคารวทยบรการเรองการใชหองสมดอยางตอเนอง

๑.๑ ตรวจสอบการเขา-ออกบรเวณประตทางเขา-ออก ๒ ดานคอ ดานหองสมด และ ดาน Virtual Library ๑.๒ จดท าเอกสารและสอประชาสมพนธอยางทวถงในบรเวณหองสมด

๑.๑ อปกรณประกอบของเครองคอมพวเตอร PC สญหาย เชน Mouse RAM

๑.๑.๑ ผใชบรการขาดจตส านกในการใชบรการคอมพวเตอรของมหาวทยาลย ๑.๑.๒ มลคาของอปกรณมราคาสง

๑.๑ รณรงคการใชบรการเครองคอมพวเตอร PC ๑.๒ ควบคมการใหบรการโดยกลองวงจรปด หากมเหตการณผดปกต

๑.๑ รณรงคดวยการมเจาหนาทใหค าปรกษาในการใชงานเครองคอมพวเตอร ๑.๒ เจาหนาทรกษาความปลอดภยเพมความเขมงวดในการเดนตรวจเชค

ความเสยงดานการเงน

การใชงบประมาณไมเปนไปตามแผนทก าหนดไว

นโยบายการด าเนนงานเปลยนแปลงเพอใหสอดคลองกบเหตการณปจจบน

มการคาดการณลวงหนาและมการปรบแผนการด าเนนงานใหสอดคลองกบนโยบาย

เจาหนาทจดซอจดจางของส านกไดด าเนนการโครงการและเบกจ ายตามแผนประจ าปงบประมาณ ๒๕๕๔

มโครงการและกจกรรมทนอกเหนอจากแผนปฏบตราชการ

Page 96: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗๘

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ความเสยง ผลกระทบ มาตรการ สถานะการด าเนนงาน

การจดการความเสยง ปญหาและอปสรรค

ความเสยงดานยทธศาสตร กลยทธ

๑.๑ ขาดการบรณาการการใชขอมลเทคโนโลยสารสนเทศระหวางหนวยงาน

๑.๑.๑ ฐานขอมลในแตละหนวยงานมรปแบบโครงสรางทแตกตางกน

๑.๑.๑ ปรบปรงขอมลพนฐานและบรณาการความเชอมโยงระบบฐานขอมลจากทกหนวยงานของมหาวทยาลยเพอในการบรหารและประกนคณภาพ ๑.๑.๒ พฒนาระบบฐานขอมลของแตละหนวยงานใหมโครงสรางเดยวกน

๑.๑ มการจดท าความเชอมโยงของฐานขอมลทชวยในการตดสนใจ คอ ขอมลนกศกษา ขอมลบคลากร ขอมลดานการเงน และขอมลดานการวจย โดยแตละรายการสามารถหาความเชอมโยงของขอมลได

ขอมลดานการวจยและการเงนอยระหวางการจดท าเนองจากรอขอมลมา Process ในการปรบปรงฐานขอมล

ความเสยงดานปฏบตและไมปฏบตตามกฏหมายและกฏระเบยบ

๑.๑ บคลากร นกศกษา บางสวนยงฝาฝนพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐

๑.๑.๑ บคลากร นกศกษา บางสวนยงขาดความใสใจตระหนกถงโทษทไดรบเกยวกบการกระท าความผดตามพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ ๑.๑.๒ ผโจรกรรมขอมลทางคอมพวเตอรใชพนทในการกระท าผดตอความมนคงของประเทศ หรอหมนประมาทผอนท าใหไดรบความเสยหาย

๑.๑.๑ เผยแพรประชาสมพนธบทลงโทษของการกระท าความผดเกยวกบพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ ๑.๑.๒ เพมระบบรกษาความปลอดภย ในการเขาถงหรอโจรกรรมขอมลใหรดกม

๑.๑ เผยแพรขอบงคบเกยวกบการกระท าความผดทางประกาศส าหรบนกศกษา และคมอการใช ICT ของส านก ๑.๒ .๑ มการตดตง proxy server เพอแสดงตวตนของผเขาใชงานทกครง รวมถงการตดตง firewall เพอปองกนการโจรกรรมขอมลจากภายในและภายนอกมหาวทยาลย

บคลากรเพกเฉยตอการกระท าผด

Page 97: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๗๙

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ความเสยง ผลกระทบ มาตรการ สถานะการด าเนนงาน

การจดการความเสยง ปญหาและอปสรรค

๑.๒.๒ มการตดตงโปรแกรม antivirus ใหกบเครองคอมพวเตอรทกเครองภายในมหาวทยาลย

ความเสยงดานบคลากรและหลกธรรมาภบาล

ขอเปรยบเทยบอตราคาตอบแทนของบคลากรภาครฐและเอกชน

๑.๑ อตราคาตอบแทนของภาคเอกชนสงกวาภาครฐ ๑.๒ คาครองชพในสถานการณปจจบนทมอตราสง

๑.๑.๑ สงเสรมการไดรบคาตอบแทนเชยวชาญเฉพาะดาน ๑.๑.๒ สนบสนนการพฒนาบคลากรใหมความกาวหนาในสายงาน

๑.๑ บคลากรของส านกไดเขาทดสอบ certificate เฉพาะดาน เชน ITIL, cisco และ oracle เปนตน

๑.๒ จดใหบคลากรเขารวมการอบรมตามความเชยวชาญของแตละบคคลอยางนอย ๑ ดาน

การสอบ certificate มราคาคอนขางสง

ความเสยงดานเทคโนโลยสารสนเทศ

ความตองการหรอขอมลทแตกตางกนมากของแตละหนวยงาน

เ ว บ ไ ซ ต ต น แ บ บ ไ ม ส า ม า ร ถตอบสนองความตองการของทกหนวยงานได

ประสานความรวมมอกบหนวยงานตางๆ เพอปรบร ป แ บ บ ข อ ง ข อ ม ล ใ นเวบไซตใหสอดคลองกน

มอบผรบผดชอบโดยตรงเพอประสานงานกบหนวยงานตางๆ ในการปรบปรงขอมลใหเหมาะสม

ก า ร โ จ ม ต โ ด ย ไ ว ร สคอมพวเตอรมการพฒนาอยางตอเนอง

คอมพวเตอรไมตดตงหรอ update โปรแกรมปองกนไวรส

ด แลตรวจสอบโปรแกรมปองกนไวรสใหเปนปจจบนและพรมใชงานได

จดกจกรรม big cleaning เครองคอมพวเตอรภายในมหาวทยาลย

ลกษณะการใชงานของแตละหนวยงานมความแตกตางกนท าใหจ าเปนตองอธบายวธการใชงานของแตละบคคล

Page 98: arit.dusit.ac.th › main › wp-content › uploads › 2016 › 10 › ... ของมหาวิทยาลัยสวนดุสิต-$ - 6ผ บร หารเทคโนโลย

นโยบายและแนวปฎบตการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ของมหาวทยาลยสวนดสต หนา | ๘๐

แผนบรหารความเสยงส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยสวนดสต

ความเสยง ผลกระทบ มาตรการ สถานะการด าเนนงาน

การจดการความเสยง ปญหาและอปสรรค

๑. จ านวนเครองคอมพวเตอรยงไมเพยงพอตอการใชงานเมอเทยบกบจ านวนนกศกษา ๒. คอมพวเตอรและระบบการใชงานเกดความลาชาอยเสมอ ๓. ขาดประสทธภาพในการดแล

๑.๑ การหมดสญญาเชาเครองคอมพวเตอรของมหาวทยาลยและยงไมมการจดเครองใหมมาทดแทน ๑.๒ สญญาณ wireless มปญหา ๑.๓ บคลากรผดแลการบรการดานคอมพวเตอรไมเพยงพอในกรณมงานซ าซอน

๑.๑.๑ ใหนกศกษาน า Note Book ส วนต วท ไ ด ร บจากม ห า ว ท ย า ล ย ม า ใ ช ง า นทดแทนเครองทหมดสญญาเชา ๑ .๑ .๒ ตรวจสอบจ ดอ บสญญาณและปรบปรงแกไข ๑.๑.๓ มอบหมายใหนกศกษาชวยงานในโครงการของศนยส น เ ท ศ แ ล ะ แ น ะ แ น วการศกษาและอาชพมาชวยใหบรการ

๑.๑ มการจดหาเครองคอมพวเตอรมาทดแทน ๑.๒ มการตดตง wireless เพมเตม ๑.๓ รบนกศกษามาชวยงานชางเทคนคและระบบเครอขาย

สถานะการด าเนนงาน = ด าเนนการแลว เสรจตามก าหนดการ

= ด าเนนการแลว เสรจลาชากวาก าหนดการ X = ยงไมไดเรมด าเนนการ ๐ = อยระหวางด าเนนการ


1. 2. 3. 4. 5.cit.kmutnb.ac.th › main › wp-content › uploads › 2015 › 09... · 2015-09-17 · 1.2 ความสําคัญของหล ักสูตร เป็นหลักสูตรที่มุ่งส่งเสริมให้มีการพัฒนาทางด้านอาช

1. 2. 3. 4. 5.cit.kmutnb.ac.th › main › wp-content › uploads › 2015 › 09... · 2015-09-17 · 1.2 ความสําคัญของหล ักสูตร เป็นหลักสูตรที่มุ่งส่งเสริมให้มีการพัฒนาทางด้านอาช

ravi main project

ravi main project

1-s2.0-0003497595010467-main cora pump

1-s2.0-0003497595010467-main cora pump

ELS Main Brochure 2014

ELS Main Brochure 2014

Fm-599 Main Proj

Fm-599 Main Proj

JEE(Main)Bulletin 2014

JEE(Main)Bulletin 2014

JEE MAIN 9

JEE MAIN 9

KitaboSunnat.com--Quran o Hadees Main Tahreef

KitaboSunnat.com--Quran o Hadees Main Tahreef

paro6.dnp.go.thparo6.dnp.go.th/.../report/report60/mm-march-2560.docx · Web viewนายโกว ทย ส นตจ ตร ผ อำนวยการส วนอ ทยานแห

paro6.dnp.go.thparo6.dnp.go.th/.../report/report60/mm-march-2560.docx · Web viewนายโกว ทย ส นตจ ตร ผ อำนวยการส วนอ ทยานแห

Code-R PAPER-2 (B. ARCH.) OF JEE (MAIN) JEE (MAIN) 2018 · PAPER-2 (B. ARCH.) OF JEE (MAIN) JEE (MAIN) 2018 TEST PAPER WITH SOLUTION & ANSWER KEY ... Test Booklet. Marks allotted

Code-R PAPER-2 (B. ARCH.) OF JEE (MAIN) JEE (MAIN) 2018 · PAPER-2 (B. ARCH.) OF JEE (MAIN) JEE (MAIN) 2018 TEST PAPER WITH SOLUTION & ANSWER KEY ... Test Booklet. Marks allotted

eia.onep.go.theia.onep.go.th/images/monitor/1564157190.pdf · GNS Waste Management 2019 เด ือน ประเภท ชน ิดหน ่วย ปร ิมาณ ผ ู้รับก

eia.onep.go.theia.onep.go.th/images/monitor/1564157190.pdf · GNS Waste Management 2019 เด ือน ประเภท ชน ิดหน ่วย ปร ิมาณ ผ ู้รับก

АНТИКРИЗИСНЫЕfpprt.ru/wp-content/uploads/main-pres.pdf · Постановление Кабинета Министров Республики Татарстан "Об

АНТИКРИЗИСНЫЕfpprt.ru/wp-content/uploads/main-pres.pdf · Постановление Кабинета Министров Республики Татарстан "Об

1-s2.0-S0255270196041682-main westerterp.pdf

1-s2.0-S0255270196041682-main westerterp.pdf

Chiang Mai Universityart-culture.cmu.ac.th/.../1583226233-3wj8lkd9uv.docx · Web view- ผ นำระด บส ง โดย คกก.บร หารสำน กฯ จ ดประช

Chiang Mai Universityart-culture.cmu.ac.th/.../1583226233-3wj8lkd9uv.docx · Web view- ผ นำระด บส ง โดย คกก.บร หารสำน กฯ จ ดประช

MAIN-DISH PASTA R/V-î

MAIN-DISH PASTA R/V-î

fiche main courante - m.qgt.fr

fiche main courante - m.qgt.fr

Syllabus Main KAS

Syllabus Main KAS

JEE-Main 2013-Paper-1.pdf

JEE-Main 2013-Paper-1.pdf

Main Hrm Mine

Main Hrm Mine

˘ˇˆˇ˙ˇ˝sce-net.jp/main/wp-content/uploads/2016/03/nen77-2-ppt.pdf˘ˇˆˇ˙ˇ˝ ˘ ˇˆ˙˝˛ ˚˜ !"˘#$ˇˆ˙˝˛ ˚˜ !"˘#$ #$ %&˚ '()* +"˘,-'( ./0 123 DE FGHIJKLMNIOPQ

˘ˇˆˇ˙ˇ˝sce-net.jp/main/wp-content/uploads/2016/03/nen77-2-ppt.pdf˘ˇˆˇ˙ˇ˝ ˘ ˇˆ˙˝˛ ˚˜ !"˘#$ˇˆ˙˝˛ ˚˜ !"˘#$ #$ %&˚ '()* +"˘,-'( ./0 123 DE FGHIJKLMNIOPQ