นโยบายและแนวทางปฏิบัติในการรักษา ความมั่นคงปลอดภัยสารสนเทศ

ประกาศกรมส่งเสริมการค้าระหว่างประเทศ

เรื่อง นโยบายและแนวทางปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ
ของกรมส่งเสริมการค้าระหว่างประเทศ พ.ศ. 2566

กรมส่งเสริมการค้าระหว่างประเทศ มีภารกิจเกี่ยวกับการส่งเสริมการส่งออก ขยายตลาด สินค้าและธุรกิจบริการของไทย พัฒนาและสร้างมูลค่าเพิ่มของสินค้าและธุรกิจบริการ ส่งออก ให้บริการข้อมูลการค้าและเพิ่มศักยภาพการแข่งขันของผู้ประกอบการไทยในตลาดโลก เพื่อเพิ่มมูลค่าและปริมาณการส่งออกของประเทศไทย โดยกรมได้พัฒนาระบบสารสนเทศเพื่อตอบสนองภารกิจต่างๆ ของกรม อาทิ ระบบสารสนเทศเพื่ออำนวยความสะดวกในการร่วมกิจกรรมกรม ระบบชำระเงินออนไลน์ (e-Payment) ระบบวิเคราะห์สถานการณ์การค้าระหว่างประเทศ และระบบสนับสนุนเพื่ออำนวยความสะดวกในการปฏิบัติงานของเจ้าหน้าที่

โดยที่เป็นการสมควรกำหนดแนวทางการปฏิบัติงานและการบริหารราชการให้มีความมั่นคงปลอดภัยและเชื่อถือได้ ตลอดจนมีมาตรฐานเป็นที่ยอมรับ ในระดับสากล กรมส่งเสริมการค้าระหว่างประเทศจึงได้กำหนดแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อเป็น เครื่องมือให้กับผู้ใช้บริการ ผู้ดูแลระบบงาน และผู้เกี่ยวข้องกับระบบเครือข่ายคอมพิวเตอร์ ใช้เป็นแนวทางในการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศของกรมส่งเสริมการค้าระหว่างประเทศ

อาศัยอำนาจตามความในมาตรา 32 แห่งพระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 และที่แก้ไขเพิ่มเติม ประกอบกฎกระทรวงแบ่งส่วนราชการกรมส่งเสริมการส่งออก กระทรวงพาณิชย์ พ.ศ. 2553 พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 และที่แก้ไขเพิ่มเติม และประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 อธิบดีกรมส่งเสริมการค้าระหว่างประเทศ จึงออกประกาศไว้ดังต่อไปนี้

หมวด 1 : บททั่วไป

ข้อ 1 ประกาศนี้มีชื่อว่า “ประกาศกรมส่งเสริมการค้าระหว่างประเทศ” เรื่อง นโยบายและแนวทางปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศของกรมส่งเสริมการค้าระหว่างประเทศ พ.ศ. 2566

条項 2. この公告は、これから発効するものとします。

หมวด 2 : นโยบายการใช้งานอุปกรณ์การสื่อสารและการเข้าถึงจากระยะไกล (Mobile Device and Teleworking Policy)

ข้อ 3 การใช้งานอุปกรณ์การสื่อสารและการเข้าถึงจากระยะไกล มีวัตถุประสงค์เพื่อกำหนดกรอบหน้าที่ความรับผิดชอบของบุคคลที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศและกำหนดนโยบาย และมาตรการการใช้งานอุปกรณ์การสื่อสารและการเข้าถึงจากระยะไกล (ภายนอก)

ข้อ 4 นโยบายการใช้งานอุปกรณ์การสื่อสารและการเข้าถึงจากระยะไกล

1. ต้องกรอกคำร้องขอใช้งานในแบบฟอร์มที่กรมจัดเตรียมไว้ให้เพื่อยืนยันตัวตน และยืนยันอุปกรณ์

2. ต้องมีการยืนยันตัวตนก่อนการเข้าใช้งาน

3. เจ้าหน้าที่ผู้ดูแลระบบต้องมีการกำหนดสิทธิ์การใช้งานระบบสารสนเทศของกรม ตามสิทธิ์ที่อนุญาตให้สามารถใช้งานได้

4. เจ้าหน้าที่ดูแลระบบต้องมีการควบคุมปริมาณการใช้งานด้านอินเตอร์เน็ต เช่น YouTube, Facebook

5. เจ้าหน้าที่ดูแลระบบต้องควบคุมไม่ให้มีการใช้งานด้านเครือข่ายไปในทางที่ไม่เหมาะสม

ข้อ 5 แนวทางการใช้งานอุปกรณ์การสื่อสารและการเข้าถึงจากระยะไกล

1. เจ้าหน้าที่ต้องสามารถระบุตัวตนของอุปกรณ์และมีการจัดทำแฟ้มประวัติการลงทะเบียน เช่น Mac Address, User และ Password

2. เจ้าหน้าที่ต้องจัดกลุ่มความสำคัญของผู้รับบริการ

3. อุปกรณ์การสื่อสารที่ใช้ในกรมจะต้องติดตั้งโปรแกรมป้องกันไวรัส

4. อุปกรณ์การสื่อสารที่ใช้ต้องอยู่ภายใต้สิทธิ์และเงื่อนไขด้านความปลอดภัยสารสนเทศของกรม เช่น Policy Firewall

ข้อ 6 Teleworking Policy (VPN)

1. ผู้เข้าใช้งานต้องมีการกรอกแบบฟอร์มตามที่กรมจัดเตรียมไว้ให้และต้องให้ผู้ดูแลระบบอนุมัติตามสิทธิ์ที่ได้

2. เมื่อมีการเชื่อมต่อ Network จากภายนอกหน่วยงาน จะต้องมีกระบวนการเข้ารหัสจากผู้ดูแลระบบของกรมและผู้ดูแลต้องมีการทำประวัติการเข้าใช้งาน (Log)

3. ผู้เข้าใช้งานจะมีสิทธิ์เข้าถึงข้อมูลตามที่ได้ร้องขอ และจะไม่สามารถเข้าถึงข้อมูลอื่นของกรมได้

4. ผู้เข้าใช้งานจะหมดสิทธิ์ในการเข้าถึงข้อมูลตามระยะเวลาเป็นรายครั้ง

หมวด 3 : ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล (Human Resource Security)

ข้อ 7 ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล มีวัตถุประสงค์เพื่อให้พนักงานและผู้ที่ทำสัญญาจ้างเข้าใจในหน้าที่ความรับผิดชอบของตนเองและมีความเหมาะสมตามบทบาทของตนเองที่ได้รับการพิจารณา เพื่อให้พนักงานและผู้ที่ทำสัญญาจ้างตระหนักและปฏิบัติตามหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศของตนเอง และเพื่อป้องกันผลประโยชน์ขององค์กรซึ่งเป็นส่วนหนึ่งของกระบวนการเปลี่ยนหรือสิ้นสุดการจ้างงาน

พนักงาน ผู้ให้บริการภายนอก ที่อยู่ในขอบเขตระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของกรม ต้องปฏิบัติตามนโยบายความมั่นคงปลอดภัยด้านทรัพยากรบุคคล เพื่อให้พนักงาน และผู้ให้บริการภายนอกเข้าใจในหน้าที่ความรับผิดชอบของตนเอง และมีความเหมาะสมตามบทบาทของตนเองที่ได้รับการพิจารณา ตระหนัก และปฏิบัติตามหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศของตนเอง และเพื่อป้องกันผลประโยชน์ของกรม ซึ่งเป็นส่วนหนึ่งของกระบวนการสิ้นสุดหรือเปลี่ยนการจ้างงาน

ทั้งนี้ นโยบายความมั่นคงปลอดภัยด้านทรัพยากรบุคคล ได้กล่าวถึงความมั่นคงปลอดภัยในการบริหารงานทรัพยากรบุคคล ได้แก่ กระบวนการบริหารจัดการก่อนการจ้างงาน กระบวนการบริหารจัดการพนักงาน และผู้ให้บริการภายนอกในระหว่างการจ้างงาน และกระบวนการบริหารจัดการเมื่อมีการสิ้นสุด หรือเปลี่ยนการจ้างงาน

หมวด 4 : การบริหารจัดการทรัพย์สิน (Asset Management)

ข้อ 8 การบริหารจัดการทรัพย์สิน มีวัตถุประสงค์เพื่อให้มีการระบุทรัพย์สินขององค์กร และกำหนดหน้าที่ความรับผิดชอบในการป้องกันทรัพย์สินอย่างเหมาะสม ข้อมูลสารสนเทศได้รับระดับการป้องกันที่เหมาะสมโดยสอดคล้องกับความสำคัญของสารสนเทศนั้นที่มีต่อองค์กร และมีการป้องกันการเปิดเผยโดยไม่ได้รับอนุญาต การเปลี่ยนแปลง การขนย้าย การลบ หรือการทำลายสารสนเทศที่จัดเก็บอยู่บนสื่อบันทึกข้อมูล

พนักงาน ผู้ให้บริการภายนอก ที่อยู่ในขอบเขตระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของกรม ต้องปฏิบัติตามนโยบายบริหารจัดการทรัพย์สินสารสนเทศ เพื่อให้มีการระบุทรัพย์สินของกรม และกำหนดหน้าที่ความรับผิดชอบในการป้องกันทรัพย์สินตามระดับการป้องกันที่เหมาะสม และเพื่อป้องกันการเปิดเผยโดยไม่ได้รับอนุญาต การเปลี่ยนแปลง การขนย้าย การลบ หรือการทำลายข้อมูลและสารสนเทศที่จัดเก็บอยู่บนสื่อบันทึกข้อมูล

ทั้งนี้ นโยบายบริหารจัดการทรัพย์สินสารสนเทศ ได้กล่าวถึงการบริหารจัดการทรัพย์สินสารสนเทศให้มีความมั่นคงปลอดภัย ซึ่งรวมถึงการระบุหน้าที่ความรับผิดชอบต่อทรัพย์สินสารสนเทศ (Acceptable use of assets) การจัดชั้นความลับของข้อมูลสารสนเทศ (Information classification) การจัดการบัญชีทรัพย์สิน (Inventory of assets) และการจัดการสื่อบันทึกข้อมูล (Media handling)

หมวด 5 : นโยบายควบคุมการเข้าถึงเครือข่ายสารสนเทศ (Access Control Policy)

ข้อ 9 นโยบายควบคุมการเข้าถึงเครือข่ายสารสนเทศ มีวัตถุประสงค์เพื่อบริหารจัดการสิทธิ์การเข้าถึงของผู้ใช้งาน การทบทวนบัญชีผู้ใช้งานในระยะเวลาหนึ่งและการพิสูจน์ตัวตนเพื่อเข้าใช้งาน

พนักงาน ผู้ให้บริการภายนอก ที่อยู่ในขอบเขตระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของกรม ต้องปฏิบัติตามนโยบายควบคุมการเข้าถึงสารสนเทศ เพื่อควบคุมการเข้าถึงสารสนเทศ อุปกรณ์ประมวลผลสารสนเทศ และระบบงานสารสนเทศของกรม เฉพาะผู้ที่ได้รับอนุญาต
และป้องกันการเข้าถึงระบบและบริการโดยไม่ได้รับอนุญาต และเพื่อให้ผู้ใช้งานมีความรับผิดชอบในการป้องกันข้อมูลการพิสูจน์ตัวตน

ข้อ 10 การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User access management)

การให้สิทธิ์

1. เจ้าหน้าที่ที่ปฏิบัติงานกับกรมต้องติดต่อขอแบบฟอร์มเพื่อใช้ระบบสารสนเทศของกรมกับเจ้าหน้าที่ผู้ดูแลระบบ

2. เจ้าหน้าที่ผู้ดูแลระบบตรวจสอบสถานะของผู้ขอแบบฟอร์ม เพื่อกำหนดสิทธิ์ การใช้งานของแต่ละบุคคล เช่น E-mail ของกรม, ระบบ Intranet, เว็บไซต์กรม (www.ditp.go.th)

3. ผู้ดูแลระบบต้องตรวจสอบความถูกต้องของข้อมูลตามแบบฟอร์มที่ขอใช้พร้อมกำหนดสิทธิ์การใช้งานตามที่ได้รับ

4. ผู้ดูแลระบบสามารถเพิ่มสิทธิ์ของผู้ใช้งานได้ตามตำแหน่งงานหรือหน้าที่รับผิดชอบ

5. ผู้ดูแลระบบสามารถลดสิทธิ์ของผู้ใช้งานได้ตามตำแหน่งงานหรือหน้าที่รับผิดชอบ

6. ผู้ดูแลระบบสามารถเปลี่ยนสิทธิ์ของผู้ใช้งานได้ตามตำแหน่งงานหรือหน้าที่รับผิดชอบ

การลบสิทธิ์

1. ผู้ดูแลระบบจะมีการลบสิทธิ์การเข้าถึงของผู้ใช้งานเมื่อมีการแจ้งจากระบบนั้นๆ เป็นลายลักษณ์อักษร โดยผู้ดูแลระบบนั้นๆ ต้องมีการเซ็นรับรองการลบสิทธิ์ด้วย

2. ผู้ดูแลระบบสามารถลบสิทธิ์ของเจ้าหน้าที่ ที่ไม่ได้ปฏิบัติงานตามที่กรมกำหนด หรือลาออกจากการปฏิบัติงานของกรมแล้ว

การบริหารจัดการสิทธิ์

1. ผู้ดูแลระบบสามารถย้ายสิทธิ์ของผู้ใช้งานได้ตามสถานการณ์ เช่น มีการโยกย้ายสำนัก

2. ผู้ดูแลระบบสามารถกำหนดสิทธิ์ของผู้ใช้งานตามหน้าที่ของผู้มีสิทธิ์ในการใช้งาน

การทบทวนสิทธิ์

1. ผู้ดูแลระบบต้องดำเนินการทบทวนสิทธิ์การใช้งานระบบของผู้ใช้งานอย่างน้อย 1 ครั้งต่อปี

2. ผู้ดูแลระบบต้องดำเนินการทบทวนสิทธิ์การเชื่อมต่อข้อมูลของระบบที่เกี่ยวข้องกับกรมอย่างน้อย 1 ครั้งต่อปี

3. ผู้ดูแลระบบต้องดำเนินการทบทวนสิทธิ์การเข้าห้อง Data Center อย่างน้อย 1 ครั้งต่อปี

4. ผู้ดูแลระบบต้องดำเนินการทบทวนสิทธิ์การเข้าใช้งานเครื่อง Server

ข้อ 11 การบริหารจัดการสิทธิ์การเข้าถึงตามระดับสิทธิ์ (High Privilege User)

การขอใช้งาน High Privilege User

การขอใช้สิทธิ์สูงสุดจะต้องมีการกรอกแบบฟอร์มขอใช้งานเมื่อมีเหตุจำเป็นเร่งด่วน และต้องมีการยืนยันตัวตนของผู้ร้องขอ โดยมีขั้นตอนและคุณสมบัติประกอบ ดังนี้

1. ต้องมีความเกี่ยวข้องกับระบบสารสนเทศนั้นๆ

2. ต้องได้รับมอบหมายจากผู้มีส่วนได้ส่วนเสียของระบบ

3. ต้องมีเอกสารยืนยันตัวตนที่ชัดเจน เช่น สำเนาบัตรประชาชน

4. ต้องกรอกแบบฟอร์มการขอใช้สิทธิ์สูงสุด และระบุเวลาการขอใช้สิทธิ์ให้ชัดเจนเป็นรายครั้ง

การใช้สิทธิ์ High Privilege User

ผู้ที่ได้รับมอบสิทธิ์สูงสุดต้องใช้งานอย่างระมัดระวังตลอดระยะเวลาที่ได้รับสิทธิ์ โดยสิทธิ์นั้นจะมีระยะเวลาตามที่ได้รับอนุญาต และต้องไม่ส่งต่อสิทธิ์ที่ได้รับให้บุคคลอื่น หากตรวจสอบพบจะดำเนินการตามบทลงโทษสูงสุด

การสิ้นสุดระยะเวลา High Privilege User

เมื่อผู้ขอใช้งานสิทธิ์สูงสุดครบระยะเวลาที่ได้รับอนุญาต ผู้ที่ให้สิทธิ์จะทำการยกเลิกสิทธิ์ทันที และผู้ให้สิทธิ์จะมีการตรวจสอบความถูกต้อง สำรวจความเสียหายที่อาจจะเกิดขึ้น โดยผู้ที่ขอใช้สิทธิ์สูงสุดจะไม่สามารถเข้าถึงสิทธิ์ที่ได้รับอีกเลย จนกว่าจะมีการขอใช้สิทธิ์อีกครั้ง

บทลงโทษ High Privilege User

1. ผู้ที่ได้รับสิทธิ์การใช้งานสูงสุดต้องใช้งานอย่างระมัดระวัง ในช่วงเวลาที่ได้รับสิทธิ์สูงสุด

2. หากมีข้อผิดพลาด ขณะถือครองสิทธิ์สูงสุด และผู้ดูแลระบบตรวจสอบได้ว่าการกระทำใดๆ ที่เกิดขึ้นแล้วมีผลกระทบต่อระบบหรือเสียหาย ให้ถือเป็นความผิดของผู้ใช้สิทธิ์และไม่สามารถปฏิเสธความรับผิดชอบได้

3. หากระบบสารสนเทศเกิดความเสียหายและความเสียหายที่เกิดขึ้นนั้น ประเมินเป็นมูลค่าได้ ผู้ที่กระทำให้เกิดความเสียหายนั้นต้องกระทำการใดๆ ให้ระบบใช้งานได้สมบูรณ์ ไม่เช่นนั้นกรมมีสิทธิ์นำบุคคลอื่นเข้ามาดำเนินการเพื่อทำให้ระบบสารสนเทศสามารถใช้งานได้ดังเดิม หากมีค่าใช้จ่ายเกิดขึ้น ผู้กระทำให้เกิดความเสียหาย ต้องรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งหมดตามที่ระบุไว้ในสัญญา

ข้อ 12 ระบบบริหารจัดการรหัสผ่าน (Password management system)

เพื่อให้ผู้รับผิดชอบระบบสารสนเทศของหน่วยงานภายในกรมมีการบริหารจัดการรหัสผ่านที่มีคุณภาพของเจ้าหน้าที่ให้มีความมั่นคงปลอดภัยตามแนวทางปฏิบัติ

1. ผู้ที่ใช้งานระบบต้องเก็บรักษารหัสผ่านที่ได้รับให้เป็นความลับ

2. ต้องกำหนดให้รหัสผ่านให้มีตัวอักษรมากกว่า 13 ตัวอักษร โดยประกอบด้วยตัวอักษรที่เป็นตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก อักษรพิเศษ และตัวเลขเข้าด้วยกัน

3. ต้องไม่กำหนดรหัสผ่านส่วนบุคคลจากชื่อหรือนามสกุลของตนเองหรือบุคคลในครอบครัวหรือบุคคลที่มีความสัมพันธ์ใกล้ชิดกับตน หรือจากคำศัพท์ที่ใช้ในพจนานุกรม

4. ต้องไม่ใช้รหัสผ่านส่วนบุคคลสำหรับการใช้แฟ้มข้อมูลร่วมกับบุคคลอื่น (Share File) ผ่านเครือข่ายระบบคอมพิวเตอร์

5. ต้องไม่ใช้โปรแกรมคอมพิวเตอร์ช่วยในการจำรหัสผ่านส่วนบุคคลอัตโนมัติ

6. ต้องไม่จดหรือบันทึกรหัสผ่านส่วนบุคคลไว้ในสถานที่ที่ง่ายต่อการสังเกตเห็นของบุคคลอื่น

7. ต้องกำหนดรหัสผ่านเริ่มต้นให้กับเจ้าหน้าที่ให้ยากต่อการคาดเดา

8. กรณีที่ให้รหัสผ่านแก่ผู้อื่นเนื่องจากมีความจำเป็นในด้านการปฏิบัติงาน หลังจากผู้ปฏิบัติงานได้ดำเนินการเรียบร้อยแล้ว ผู้ให้รหัสผ่านต้องทำการเปลี่ยนรหัสผ่านทันที

หมวด 6 : การเข้ารหัสข้อมูล (Cryptography)
มาตรการเข้ารหัสข้อมูล (Cryptographic controls)

ข้อ 13 มาตรการเข้ารหัสข้อมูล มีวัตถุประสงค์เพื่อเป็นแนวทางในการปกป้องข้อมูลให้มีความสมบูรณ์ ถูกต้อง ไม่ให้ถูกการกระทำการใด ๆ ให้เป็นเหตุข้อมูลรั่วไหลไปสู่ผู้ไม่มีสิทธิ์

พนักงานผู้ให้บริการภายนอก ที่อยู่ในขอบเขตระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของกรม ต้องปฏิบัติตามนโยบายการเข้ารหัสข้อมูล เพื่อให้มีการใช้การเข้ารหัสข้อมูลอย่างเหมาะสม ได้ผล และป้องกันความลับ การปลอมแปลง หรือความถูกต้องของสารสนเทศ
ทั้งนี้ นโยบายกรมได้กำหนดให้ระบบสารสนเทศต่างๆ มีการเข้ารหัส (SSL) เป็นต้น

การบริหารจัดการกุญแจเข้ารหัส (Key Management Policy)
ข้อ 14 การบริหารจัดการกุญแจเข้ารหัส มีวัตถุประสงค์เพื่อให้หน่วยงานมีการส่งข้อมูลอย่างปลอดภัย โดยมีการเข้ารหัสอย่างปลอดภัยไม่ให้ผู้ไม่เกี่ยวข้องสามารถเปิดอ่านหรือนำข้อมูลไปใช้ต่อได้ 1. เมื่อกรมมีระบบงานที่เกิดขึ้นจะต้องมีการจัดหาระบบ SSL ให้พร้อมใช้งานเสมอเพื่อป้องกันการโจรกรรมข้อมูลจากผู้ที่ไม่เกี่ยวข้อง

2. ระบบสารสนเทศภายในกรมต้องมีการใช้งานการเข้ารหัส (SSL) ตลอดระยะเวลาที่ระบบมีการใช้งาน

3. การต่ออายุการเข้ารหัส (SSL) จะต้องอ้างอิงระเบียบการจัดซื้อจัดจ้างของกรม

โดยนโยบายการใช้งาน การป้องกัน และอายุการใช้งานของกุญแจ ต้องมีการจัดทำ และปฏิบัติตามตลอดวงจรชีวิตของกุญแจ

หมวด 7 : ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and environmental Security)

ข้อ 15 ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม มีวัตถุประสงค์เพื่อป้องกันการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต ความเสียหายและการแทรกแซงการทำงาน ที่มีต่อสารสนเทศ และอุปกรณ์ประมวลผลสารสนเทศขององค์กร

พื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย (Secure areas)

มีการกำหนดขอบเขตหรือบริเวณโดยรอบพื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย เพื่อใช้ในการป้องกันพื้นที่สำคัญดังกล่าวอันประกอบไปด้วยสารสนเทศหรืออุปกรณ์ประมวลผลสารสนเทศที่มีความสำคัญ

การควบคุมการเข้าออกทางกายภาพ (Physical entry controls) พื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย ต้องมีการป้องกันโดยมีการควบคุมการเข้าออกอย่างเหมาะสม โดยกำหนดให้เฉพาะผู้ที่ได้รับอนุญาตแล้วเท่านั้นที่สามารถเข้าถึงพื้นที่สำคัญได้

การป้องกันต่อภัยคุกคามจากภายนอกและสภาพแวดล้อม (Protecting against external end environmental threats) มีการออกแบบและติดตั้งอุปกรณ์เพื่อตรวจจับและการป้องกันทางกายภาพต่อภัยพิบัติทางธรรมชาติ การโจมตีหรือการบุกรุก หรืออุบัติเหตุ

การปฏิบัติงานในพื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย (Working in secure areas) มีขั้นตอนปฏิบัติสำหรับการปฏิบัติงานในพื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย

พื้นที่สำหรับรับส่งสิ่งของ (Delivery and loading areas) มีการกำหนดจุดหรือบริเวณที่สามารถเข้าถึงองค์กร เช่น พื้นที่สำหรับรับส่งสิ่งของ บริเวณอื่นๆ ที่ผู้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงพื้นที่ขององค์กรได้ และหากเป็นไปได้ จุดหรือบริเวณดังกล่าวควรแยกออกมาจากบริเวณที่มีอุปกรณ์ประมวลผลสารสนเทศ เพื่อหลีกเลี่ยงการเข้าถึงโดยผู้ที่ไม่ได้รับอนุญาต

อุปกรณ์ (Equipment)

ข้อ 16 อุปกรณ์ มีวัตถุประสงค์เพื่อป้องกันการสูญหาย การเสียหาย การขโมย หรือการเป็นอันตรายต่อทรัพย์สินและป้องกันการหยุดชะงักต่อการดำเนินงานขององค์กร

นโยบายการจัดการหน้าจอหรือพื้นที่ในการปฏิบัติงาน (Clear Desk & Clear Screen Policy)

ข้อ 17 นโยบายการจัดการหน้าจอหรือพื้นที่ในการปฏิบัติงาน มีวัตถุประสงค์เพื่อป้องกันความลับรั่วไหล และสร้างความตระหนักให้กับผู้ใช้งานก่อนออกจากพื้นที่ปฏิบัติงาน

แนวทางปฏิบัติ

1. ผู้ปฏิบัติงานต้องออกจากระบบสารสนเทศ (Logout) ทันทีที่เสร็จสิ้นการปฏิบัติงาน

2. ผู้ปฏิบัติงานต้องไม่ติดรหัสผ่านหรือเอกสารที่เกี่ยวข้องกับรหัสผ่านในที่สังเกตเห็นได้ชัด

3. ผู้ปฏิบัติงานต้องตั้งค่าการออกจากระบบสารสนเทศ (Logout) หากไม่ได้ใช้งานนานเกิน 5 นาที

4. ผู้ปฏิบัติงานต้องไม่เก็บไฟล์เอกสารที่มีรหัสผ่านหรือมีความลับไว้ที่หน้าจอ

5. ผู้ปฏิบัติงานต้องไม่เก็บเอกสารที่มีความลับไว้บนโต๊ะทำงานหลังจากเลิกงาน หรือเวลาที่ไม่ได้อยู่ที่โต๊ะทำงานต้องเก็บเอกสารที่เป็นความลับไว้ในที่ปลอดภัย เช่น ตู้เอกสารที่มีกุญแจควบคุมการปิดเปิด

6. ผู้ปฏิบัติงานต้องระมัดระวังการนำอาหารหรือเครื่องดื่มมารับประทานที่โต๊ะทำงาน เนื่องจากอาจก่อให้เกิดความเสียหายแก่เอกสารได้

7. ผู้ปฏิบัติงานต้องปิดสวิตช์หรือถอดปลั๊กไฟทุกครั้งหลังจากใช้งาน เนื่องจากอาจก่อให้เกิดความเสียหายแก่เอกสารและอุปกรณ์อิเล็กทรอนิกส์ได้

หมวด 8 : ความมั่นคงปลอดภัยสำหรับการดำเนินงาน (Operations Security)

ขั้นตอนการปฏิบัติงานและหน้าที่ความรับผิดชอบ (Operational Procedures and Responsibilities)

ข้อ 18 ความมั่นคงปลอดภัยสำหรับการดำเนินงาน มีวัตถุประสงค์เพื่อให้การปฏิบัติงานกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและมั่นคงปลอดภัย
1. ขั้นตอนการปฏิบัติงานที่เป็นลายลักษณ์อักษร (Documented operating procedures)

ขั้นตอนการปฏิบัติงานต้องมีการจัดทำเป็นลายลักษณ์อักษรและต้องสามารถเข้าถึงได้โดยผู้ที่จำเป็นต้องใช้งาน เพื่อให้การปฏิบัติงานกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้อง และมีความมั่นคงปลอดภัย กรมส่งเสริมการค้าระหว่างประเทศได้กำหนดให้จัดทำ ขั้นตอนการปฏิบัติงานที่สำคัญไว้เป็นลายลักษณ์อักษร เช่น เอกสารขั้นตอนการดำเนินการ backup เอกสารการเช็คความพร้อมใช้งานของระบบ (Check List Capacity) และการบริหารจัดการการเปลี่ยนแปลง (Change management) เป็นต้น

2. การบริหารจัดการการเปลี่ยนแปลง (Change management)

การเปลี่ยนแปลงต่อองค์กร กระบวนการทางธุรกิจ อุปกรณ์ประมวลผลสารสนเทศ และระบบที่มีผลต่อความมั่นคงปลอดภัยสารสนเทศ ต้องมีการควบคุมการดำเนินการตามคู่มือการปฏิบัติงาน ISMS_PC_Change

3. การบริหารจัดการขีดความสามารถของระบบ (Capacity management)

การใช้ทรัพยากรของระบบต้องมีการติดตาม ปรับปรุง และคาดการณ์ความต้องการเพิ่มเติมในอนาคตเพื่อให้ระบบมีประสิทธิภาพตามที่ต้องการ

4. การแยกสภาพแวดล้อมสำหรับการพัฒนา การทดสอบ และการให้บริการออกจากกัน (Separation of development, testing and operational environments)

สภาพแวดล้อมสำหรับการพัฒนา การทดสอบ และการให้บริการ ต้องมีการจัดทำแยกกันเพื่อลดความเสี่ยงของการเข้าถึงหรือการเปลี่ยนแปลงสภาพแวดล้อมสำหรับการให้บริการโดยไม่ได้รับอนุญาต

การป้องกันโปรแกรมไม่ประสงค์ดี (Protection from Malware)

ข้อ 19 การป้องกันโปรแกรมไม่ประสงค์ดี มีวัตถุประสงค์เพื่อให้สารสนเทศและอุปกรณ์ประมวลผลสารสนเทศได้รับการป้องกันจากโปรแกรมไม่ประสงค์ดี

มีมาตรการตรวจหา การป้องกัน และการกู้คืน จากโปรแกรมไม่ประสงค์ดี ต้องมีการดำเนินการร่วมกับการสร้างความตระหนักผู้ใช้งานที่เหมาะสม เพื่อให้ระบบสารสนเทศและอุปกรณ์ประมวลผลได้รับการป้องกันจากโปรแกรมไม่ประสงค์ดี เช่น ไวรัส วอร์ม มัลแวร์ กรมส่งเสริมการค้าระหว่างประเทศได้มีการกำหนดให้มีการอัพเดตสม่ำเสมอและสแกนไวรัสอย่างน้อยสัปดาห์ละ 1 ครั้ง

การสำรองข้อมูล (Backup)

ข้อ 20 การสำรองข้อมูล มีวัตถุประสงค์เพื่อป้องกันการสูญหายของข้อมูลและการพร้อมใช้งานของระบบสารสนเทศ

1. ในการสำรองข้อมูลระบบสารสนเทศคอมพิวเตอร์แม่ข่ายของกรม แบ่งออกเป็น 2 สถานที่ ตามสถานที่ที่ตั้งอยู่ ซึ่งได้แก่ ศูนย์ข้อมูลสำนักปลัดกระทรวงพาณิชย์ (Moc Cloud) และห้องคอมพิวเตอร์แม่ข่ายของกรมส่งเสริมการค้าระหว่างประเทศที่กระทรวงพาณิชย์จังหวัดนนทบุรี

2. กระบวนการในการสำรองข้อมูล สามารถดูได้จาก Backup Flow Chart ซึ่งเป็นขั้นตอนและกระบวนการในการสำรองข้อมูลแบบสมบูรณ์ (Complete Backup)

3. ในการสำรองข้อมูลคอมพิวเตอร์แม่ข่ายของกรมส่งเสริมการค้าระหว่างประเทศ ต้องดำเนินการตามแผนการดำเนินงาน ซึ่งแต่ละประเภทของคอมพิวเตอร์แม่ข่ายจะมีการสำรองข้อมูลแตกต่างกันออกไป

4. ความถี่ในการสำรองข้อมูลอาจแบ่งได้เป็นแบบ ส่วนที่เพิ่มขึ้นรายวัน (Increment Backup) และแบบเต็มระบบเป็นรายสัปดาห์ (Full Backup)

5. รายละเอียดในการสำรองข้อมูลของแต่ละเครื่องคอมพิวเตอร์แม่ข่าย สามารถดูได้จากตารางการสำรองข้อมูล

6. การสำรองข้อมูลแบบตั้งเวลาดำเนินการอัตโนมัติ

7. ทุกครั้งที่เจ้าหน้าที่ทำการตรวจสอบเครื่องคอมพิวเตอร์แม่ข่าย จะต้องมีการบันทึกลงวันที่และเวลาในการดำเนินงาน

8. กำหนดให้มีการทดสอบการ Restore ในการพร้อมใช้งานอย่างน้อยราย 6 เดือน ต่อครั้ง ทดสอบการใช้งานเพื่อให้มั่นใจว่าระบบสามารถใช้งานได้อย่างถูกต้องสมบูรณ์

การบันทึกข้อมูลล็อกและการเฝ้าระวัง (Logging and Monitoring)

ข้อ 21 การบันทึกข้อมูลล็อกและการเฝ้าระวัง มีวัตถุประสงค์เพื่อให้มีการบันทึกเหตุการณ์และจัดทำหลักฐาน

1. การบันทึกข้อมูลล็อกแสดงเหตุการณ์ (Event logging)

ข้อมูลล็อกแสดงเหตุการณ์ซึ่งบันทึกกิจกรรมของผู้ใช้งาน การทำงานของระบบที่ไม่เป็นไปตามขั้นตอนปกติ ความผิดพลาดในการทำงานของระบบ และเหตุการณ์ความมั่นคงปลอดภัย มีการบันทึกไว้ จัดเก็บ และทบทวนอย่างสม่ำเสมอ

2. การป้องกันข้อมูลล็อก (Protection of log information)

อุปกรณ์บันทึกข้อมูลล็อกและข้อมูลล็อกต้องได้รับการป้องกันจากการเปลี่ยนแปลงแก้ไขและการเข้าถึงโดยไม่ได้รับอนุญาต

3. ข้อมูลล็อกกิจกรรมของผู้ดูแลระบบและเจ้าหน้าที่ปฏิบัติการระบบ (Administrator and operator logs)

กิจกรรมของผู้ดูแลระบบและเจ้าหน้าที่ปฏิบัติการต้องมีการบันทึกไว้เป็นข้อมูลล็อก ข้อมูลดังกล่าวมีการป้องกันและทบทวนอย่างสม่ำเสมอ

4. การตั้งนาฬิกาให้ถูกต้อง (Clock Synchronization)

นาฬิกาของระบบที่เกี่ยวข้องทั้งหมดภายในองค์กรหรือในขอบเขตหนึ่ง ต้องมีการตั้งให้ตรงและถูกต้องเทียบกับแหล่งอ้างอิงเวลาแห่งหนึ่ง

การควบคุมการติดตั้งซอฟต์แวร์บนระบบให้บริการ (Control of operational software)

ข้อ 22 การควบคุมการติดตั้งซอฟต์แวร์บนระบบให้บริการ มีวัตถุประสงค์เพื่อให้ระบบให้บริการมีการทำงานที่ถูกต้อง

มีขั้นตอนปฏิบัติสำหรับการควบคุมการติดตั้งซอฟต์แวร์บนระบบให้บริการ (Installation of software on operational systems) เพื่อให้ระบบที่ให้บริการมีการดำเนินงานได้ถูกต้อง กำหนดให้มีขั้นตอนการปฏิบัติงานสำหรับการติดตั้งซอฟต์แวร์คอมพิวเตอร์ เจ้าหน้าที่เทคนิคของสารสนเทศจะติดตั้งซอฟต์แวร์พร้อมใช้งานที่ถูกต้องตามลิขสิทธิ์ที่ได้รับจัดสรรเท่านั้น และเมื่อต้องการติดตั้งซอฟต์แวร์เพิ่มเติม นอกเหนือจากที่มีในทะเบียนซอฟต์แวร์ที่ได้รับอนุญาตต้องมีการกรอกแบบฟอร์มขอใช้ซอฟต์แวร์เพิ่มเติม

การบริหารจัดการช่องโหว่ทางเทคนิค (Technical Vulnerability Management)
ข้อ 23 การบริหารจัดการช่องโหว่ทางเทคนิค มีวัตถุประสงค์เพื่อให้การปฏิบัติงานกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและมั่นคงปลอดภัย

เพื่อป้องกันการโจมตีจากช่องโหว่ทางเทคนิค ข้อมูลเกี่ยวกับช่องโหว่ทางเทคนิคจำเป็นต้องมีการติดตามอย่างสม่ำเสมอ ดังนั้น กรมส่งเสิรมการค้ารหะหว่างประเทศ กำหนดให้มีการสแกนช่องโหว่ทางเทคนิคอย่างน้อยปีละ 1 ครั้ง นอกจากสแกนช่องโหว่แล้ว เพื่อเป็นการป้องกัน กำหนดให้มีการจำกัดสิทธิ์ในการติดตั้งซอฟต์แวร์ในการปฏิบัติงาน กำหนดให้เครื่องที่อยู่ในระบบติดตั้งซอฟต์แวร์ที่ได้รับอนุญาตที่อยู่ในระบบเท่านั้น (ทะเบียนซอฟต์แวร์ที่ได้รับอนุญาต) หากมีความประสงค์ต้องการติดตั้งซอฟต์แวร์ที่อยู่นอกเหนือการอนุญาตให้กรอกแบบฟอร์มขอใช้ซอฟต์แวร์เพิ่มเติม

สิ่งต้องพิจารณาในการตรวจสอบระบบ (Information System Audit Considerations)
ข้อ 24 สิ่งต้องพิจารณาในการตรวจสอบระบบ มีวัตถุประสงค์เพื่อลดผลกระทบของกิจกรรมการตรวจประเมินบนระบบให้บริการ

ความต้องการในการตรวจประเมินและกิจกรรมการตรวจประเมินระบบให้บริการต้องมีการวางแผนและตกลงร่วมกันอย่างระมัดระวังเพื่อลดโอกาสการหยุดชะงักที่มีต่อกระบวนการทางธุรกิจเพื่อลดผลกระทบความไม่สอดคล้องของกิจกรรมการตรวจประเมินบนระบบ ISO/IEC27001:2013 กำหนดให้มีการจัดกิจกรรมตรวจประเมินแบบ System Audit หัวข้อที่ตรวจประเมินเบื้องต้นโดยทีม System Audit Backup, Capacity, Review Rights

หมวด 9 : ความมั่นคงปลอดภัยสำหรับการสื่อสารข้อมูล (Communications security)

ข้อ 25 ความมั่นคงปลอดภัยสำหรับการสื่อสารข้อมูล มีวัตถุประสงค์เพื่อปกป้องข้อมูลที่มีการส่งต่อแก่ผู้รับข้อมูลให้มีความปลอดภัยไม่ให้มีการเปิดอ่านหรือแก้ไขก่อนถึงผู้รับ

1. นโยบายและขั้นตอนปฏิบัติสำหรับการถ่ายโอนสารสนเทศ (Information transfer policies and procedures) นโยบาย ขั้นตอนปฏิบัติ และมาตรการสำหรับการถ่ายโอนสารสนเทศ มีการปฏิบัติเพื่อป้องกันสารสนเทศที่มีการถ่ายโอน โดยผ่านทางการใช้อุปกรณ์การสื่อสารทุกประเภท

2. การส่งข้อมูลระหว่างกัน ข้อมูลนั้นต้องมีการเข้ารหัสของข้อมูลเพื่อความปลอดภัย โดยผู้ส่งและผู้รับต้องใช้รหัสเดียวกัน (SSL)

3. ข้อตกลงการรักษาความลับหรือการไม่เปิดเผยความลับ (Confidentiality or nondisclosure agreements) เมื่อมีการแลกเปลี่ยนข้อมูลที่เกิดขึ้นให้มีความสอดคล้องเฉพาะข้อมูลนั้น และป้องกันการเข้าถึงข้อมูลอื่นๆ ที่ไม่เกี่ยวข้องได้

4. เมื่อมีการแลกเปลี่ยนข้อมูล ผู้ทำการรับส่งหรือแลกเปลี่ยนข้อมูลกับทางกรมต้องมีการทำข้อตกลงไม่เปิดเผยข้อมูลเป็นลายลักษณ์อักษร และต้องไม่นำข้อมูลนั้นไปใช้งานนอกเหนือจากที่ระบุไว้โดยไม่ได้รับอนุญาต

5. ในการสื่อสารข้อมูลของการทำงานนั้นกำหนดให้ใช้ E-mail ขององค์กรเท่านั้น

หมวด 10 : การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition, development and maintenance)

ข้อ 26 การจัดหา การพัฒนา และการบำรุงรักษาระบบ มีวัตถุประสงค์เพื่อให้ความมั่นคงปลอดภัยสารสนเทศเป็นองค์ประกอบสำคัญหนึ่งของระบบ ตลอดวงจรชีวิตของการพัฒนาระบบ ซึ่งรวมถึงความต้องการด้านระบบที่มีการให้บริการผ่านเครือข่ายสาธารณะด้วย

1. ระบบสารสนเทศของกรมที่ทำงานผ่านอินเตอร์เน็ตต้องระบุให้มีการเข้ารหัส SSL

2. ระบบสารสนเทศของกรมที่ถูกพัฒนาขึ้นต้องคำนึงถึงความปลอดภัยของระบบ

3. สภาพแวดล้อมที่มีการป้องกันความปลอดภัย (Security Environment)

4. ระบบสารสนเทศต้องมีการทดสอบระบบงานทุกครั้งก่อนนำไปใช้งานจริง

5. ระบบสารสนเทศที่พัฒนาต้องอยู่ในสภาพแวดล้อมที่มีความปลอดภัย มีการ Update Antivirus ล่าสุด Patch Security Updated OS ล่าสุด และรวมถึงเครื่องมือที่ใช้ในการพัฒนาต้องมีความปลอดภัยและไม่มีช่องโหว่ที่ก่อให้เกิดการคุกคามจากภายนอก

6. ขั้นตอนการแก้ไข/เปลี่ยนแปลงระบบ (Change Procedure)

7. ก่อนที่จะมีการนำข้อมูลสารสนเทศที่มีการปรับปรุง แก้ไขหรือเปลี่ยนแปลงขึ้นสู่ระบบต้องมีการแจ้งและได้รับความเห็นชอบจากกรม

8. ต้องมีการทำสำเนาเวอร์ชั่นทุกครั้งก่อนที่มีการปรับปรุง แก้ไขหรือเปลี่ยนแปลง

9. หลังมีการปรับปรุง แก้ไขหรือเปลี่ยนแปลง ต้องมีการทดสอบว่าสามารถใช้งานได้จริง

10. หากระบบที่ผ่านการปรับปรุง แก้ไขหรือเปลี่ยนแปลงไม่สามารถใช้งานได้ ต้องสามารถนำสำเนาก่อนหน้านั้นมาใช้งานได้ทันที

11. รายงานผลการทดสอบการใช้งาน (User Acceptance Testing Report)

12. ต้องมีผลสรุปการทดสอบฟังก์ชันต่างๆ ตามที่กำหนด

13. ฟังก์ชันใช้ต่างๆ ต้องใช้งานได้ครบถ้วน

14. หลังจากมีการทดสอบต้องมีเซ็นการยอมรับผลการทดสอบในรายงานของทั้ง 2 ฝ่าย ทั้งผู้รับจ้างและผู้ใช้งาน

15. รายงานผลการทดสอบด้านความปลอดภัย (Security Testing Report)

16. ต้องมีผลสรุปการทดสอบด้านความปลอดภัยของระบบ

17. ต้องมีการเซ็นยอมรับรองผลการทดสอบของกรมเป็นอย่างน้อย

18. ไม่ใช้ข้อมูลจริงในการทดสอบ

19. หากมีการทดสอบข้อมูลหรือฟังก์ชันต่างๆ ต้องไม่นำข้อมูลจริงมาทดสอบ

20. ต้องมีกระบวนการรักษาความปลอดภัยตลอดระยะเวลาการทดสอบเพื่อไม่ให้ข้อมูลรั่วไหล

21. ต้องไม่มีการนำระบบมาทดสอบการใช้งานบนสภาพแวดล้อมจริง เพื่อป้องกันความผิดพลาดที่อาจจะเกิดขึ้นได้

22. ต้องมีการปกป้องคุ้มครองการเข้าถึง Source Code

23. ไม่เก็บ Source Code ไว้ในเครื่องที่ใช้งานจริง

24. ต้องมีการเข้ารหัสผ่าน Source Code ทุกครั้ง และรหัสผ่านนั้นต้องตรวจสอบให้แน่ใจว่าไม่สามารถเข้าถึงได้ถ้าไม่ได้เกี่ยวข้องกับงานด้าน Source Code

25. ต้องมีการกำหนดสิทธิ์ในการเข้าใช้งาน Source Code

26. Source Code จะต้องไม่สามารถเข้าถึงได้ นอกจากผ่านทางเครื่องระบบที่เกี่ยวข้อง

27. หากมีความจำเป็นที่ต้องนำ Source Code ที่พัฒนาเสร็จแล้ว มาพัฒนาเพิ่มเติม ต้องได้รับการอนุญาตจากเจ้าของ Source Code

28. Source Code ที่พัฒนาเสร็จสิ้น ห้ามผู้รับจ้างนำไปเผยแพร่หรือพัฒนาต่อยอดเว้นแต่ได้รับอนุญาตจากกรม และให้ถือว่า Source Code เป็นลิขสิทธิ์ของกรม

หมวด 11 : การจัดการความสัมพันธ์กับผู้ให้บริการภายนอก (Information Security for Supplier Relationships)

ความมั่นคงปลอดภัยสารสนเทศกับความสัมพันธ์กับผู้ให้บริการภายนอก (Information security in supplier relationship)
ข้อ 27 ความมั่นคงปลอดภัยสารสนเทศกับความสัมพันธ์กับผู้ให้บริการภายนอก มีวัตถุประสงค์เพื่อให้มีการป้องกันทรัพย์สินขององค์กรที่มีการเข้าถึงโดยผู้ให้บริการภายนอก และเพื่อให้มีการรักษาไว้ซึ่งระดับความมั่นคงปลอดภัยและระดับการให้บริการตามที่ตกลงกันไว้ในข้อตกลงการให้บริการของผู้ให้บริการภายนอก
1. ต้องทำหนังสือรับรองเพื่อยืนยันต่อกรมว่าซอฟต์แวร์ทุกประเภทที่ใช้กับงานของกรม ไม่มีซอฟต์แวร์แอบแฝงหรือซอฟต์แวร์มุ่งร้ายใดๆ และหากกรมตรวจพบ ผู้รับจ้างต้องรับผิดชอบในความเสียหายที่เกิดขึ้นทั้งหมด

2. บริษัทผู้รับจ้างต้องไม่ประมาทเลินเล่อจนก่อเกิดความเสียหายแก่กรม และความเสียหายที่เกิดขึ้นบริษัทผู้รับจ้างจะต้องรับผิดชอบทั้งหมดรวมทั้งค่าใช้จ่ายในการแก้ไขที่เกิดขึ้นทั้งหมด

3. บริษัทผู้รับจ้างต้องรับผิดชอบความปลอดภัยของข้อมูล เช่นการจัดเก็บข้อมูล การโยกย้าย การทำสำเนา และต้องแจ้งเจ้าของข้อมูลก่อนปฏิบัติงานทุกครั้ง

4. ผู้รับจ้างต้องยินยอมลงนามในสัญญาที่จะไม่เปิดเผยข้อมูลที่กรมเป็นผู้จัดทำขึ้นมา

5. หากผู้รับจ้างจำเป็นต้องใช้ข้อมูลในชั้นความลับ ต้องผ่านการขออนุญาตจากเจ้าของข้อมูลทุกครั้ง ก่อนการปฏิบัติงานนั้นๆ

6. ผู้รับจ้างจะต้องมีการกำหนดสิทธิ์ในการเข้าใช้งานข้อมูลที่สำคัญของกรม โดยต้องเสนอแนวทางให้กรม หรือเจ้าของระบบพิจารณาแล้วเห็นชอบ

7. ผู้รับจ้างจะต้องมีการหาแนวทางแก้ไขปัญหาที่อาจจะเกิดขึ้น โดยนำเสนอแนวทางให้กรม หรือเจ้าของระบบพิจารณาแล้วเห็นชอบ

8. ผู้รับจ้างจะต้องแจ้งหน่วยงานกรมที่ควบคุมดูแลการทำงานของผู้รับจ้างทันทีในกรณีที่เกิดเหตุการณ์ละเมิดความปลอดภัยสารสนเทศของกรม

9. ห้ามมิให้ผู้รับจ้างนำข้อมูลและสื่อเก็บข้อมูลที่จัดอยู่ในลำดับชั้นลับขึ้นไปออกจากกรม โดยไม่มีการควบคุมที่เหมาะสม ทั้งนี้ ต้องแจ้งให้หน่วยงานของกรมที่ควบคุมดูแลการทำงานของผู้รับจ้างพิจารณาความเหมาะสมก่อน

10. ห้ามมิให้ผู้รับจ้างนำอุปกรณ์ประมวลผลที่ไม่ใช่ของกรมมาต่อเข้ากับระบบเครือข่ายภายในของกรม เว้นแต่ได้รับอนุญาตจากหน่วยงานของกรม ที่ควบคุมดูแลการทำงานของผู้รับจ้างและงานบริหารความปลอดภัยสารสนเทศพิจารณาแล้วเห็นชอบ

11. หากผู้รับจ้างมีการเปลี่ยนแปลงเงื่อนไขการให้บริการของระบบต้องได้รับการอนุญาตจากเจ้าของระบบ และการเปลี่ยนแปลงนั้นต้องไม่มีผลกระทบต่อระบบที่ใช้งานในปัจจุบัน รวมถึงระบบอื่นๆที่เกี่ยวข้อง และกรมยอมรับได้โดยมีการขออนุญาตเข้ามาทุกครั้ง

12. กรมต้องมีข้อกำหนดในสัญญาจ้างให้ครอบคลุมไปถึงกรณีการจ้างช่วง โดยกำหนดให้ผู้รับจ้างต้องยอมรับความผิดโดยไม่สามารถปฏิเสธความรับผิดชอบได้ ทั้งผู้รับจ้าง หรือบุคคลภายนอกที่ผู้รับจ้าง จ้างเข้ามาทำงานในงานที่ผู้รับจ้างได้รับจากกรม

13. กรมหรือเจ้าของระบบต้องประเมินการปฏิบัติงานว่าตรงตามขอบเขตของงาน (TOR) ที่กำหนด พร้อมทั้งทบทวนการปฏิบัติงานตามที่กรมหรือเจ้าของระบบร้องขอ

14. ผู้รับจ้างต้องปฏิบัติตามระเบียบการจัดซื้อจัดจ้างของภาครัฐ

15. ผู้รับจ้างต้องปฏิบัติตามขอบเขตของงาน (TOR) และเงื่อนไข ที่กรมกำหนดอย่างเคร่งครัด

16. ผู้รับจ้างต้องยินยอมให้กรมมีสิทธิ์ในการเข้าตรวจสอบการทำงานได้ในทุกขั้นตอนในช่วงที่ผู้รับจ้างปฏิบัติงานให้กรม

หมวด 12 : การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management)

ข้อ 28 การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ มีวัตถุประสงค์เพื่อให้มีวิธีการที่สอดคล้องกันและได้ผลสำหรับการบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ ซึ่งรวมถึงการแจ้งสถานการณ์ความมั่นคงปลอดภัยสารสนเทศและจุดอ่อนความมั่นคงปลอดภัยสารสนเทศ

1. หน้าที่ความรับผิดชอบและขั้นตอนปฏิบัติ (Responsibilities and procedures)

มีขั้นตอนปฏิบัติสำหรับการบริหารจัดการต้องมีการกำหนดเพื่อให้มี การตอบสนองอย่างรวดเร็ว ได้ผล และตามลำดับต่อเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศตามเอกสาร ISMS_PC_Incident

2. การรายงานสถานการณ์ความมั่นคงปลอดภัยสารสนเทศ (Reporting information security events)

มีการรายงานสถานการณ์ความมั่นคงปลอดภัยสารสนเทศต้องผ่านทางช่องทางการบริหารจัดการที่เหมาะสมและรายงานอย่างรวดเร็วที่สุดเท่าที่จะทำได้

3. การรายงานจุดอ่อนความมั่นคงปลอดภัยสารสนเทศ (Reporting information security weaknesses)

พนักงานและผู้ที่ทำสัญญาจ้างซึ่งใช้ระบบและบริการสารสนเทศขององค์กรต้องสังเกตและ รายงานจุดอ่อนความมั่นคงปลอดภัยสารสนเทศในระบบหรือบริการที่สังเกตพบหรือที่สงสัย

4. การประเมินและตัดสินใจต่อสถานการณ์ความมั่นคงปลอดภัยสารสนเทศ (Assessment of and decision on information security events)

สถานการณ์ความมั่นคงปลอดภัยสารสนเทศต้องมีการประเมินและต้องมีการตัดสินว่าสถานการณ์นั้นเป็นเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศหรือไม่

5. การตอบสนองต่อเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Response to information security incidents)

เหตุการณ์ความมั่นคงปลอดภัยสารสนเทศต้องได้รับการตอบสนองเพื่อจัดการกับปัญหาตามขั้นตอนปฏิบัติที่จัดทำไว้เป็นลายลักษณ์อักษร

6. การเรียนรู้จากเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Learning from information security incidents)

ความรู้ที่ได้รับจากการวิเคราะห์และแก้ไขเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศต้องถูกนำมาใช้เพื่อลดโอกาสหรือผลกระทบของเหตุการณ์ความมั่นคงปลอดภัยที่จะเกิดขึ้นในอนาคต

7. การเก็บรวบรวมหลักฐาน (Collection of evidence)

มีการกำหนด และประยุกต์ใช้ขั้นตอนปฏิบัติสำหรับการระบุ การรวบรวม การจัดหา และการจัดเก็บสารสนเทศซึ่งสามารถใช้เป็นหลักฐาน

หมวด 13 : ประเด็นด้านความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ (Information security aspects of business continuity management)

ข้อ 29 ประเด็นด้านความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ มีวัตถุประสงค์เพื่อให้ระบบการบริหารจัดการความต่อเนื่องทางธุรกิจของการรักษาความปลอดภัยข้อมูลเพื่อจัดเตรียมสภาพความพร้อมใช้ของอุปกรณ์ประมวลผลสารสนเทศเวลาเกิดภัยพิบัติหรือเหตุการณ์วิกฤต

1. มีการกำหนดความต้องการด้านความมั่นคงปลอดภัยสารสนเทศและด้านความต่อเนื่องในสถานการณ์ความเสียหายที่เกิดขึ้น เช่น ในช่วงที่เกิดวิกฤตหรือภัยพิบัติหนึ่ง

2. มีการกำหนด ขั้นตอนปฏิบัติ และมาตรการ เพื่อให้ได้ระดับความต่อเนื่องด้านความมั่นคงปลอดภัยสารสนเทศที่กำหนดไว้เมื่อมีสถานการณ์ความเสียหายหนึ่งเกิดขึ้น

3. มีการตรวจสอบมาตรการสร้างความต่อเนื่องที่ได้เตรียมการไว้ตามรอบระยะเวลาที่กำหนด อย่างน้อยปีละ1 ครั้ง เพื่อให้มั่นใจว่ามาตรการเหล่านั้นยังถูกต้องและได้ผลเมื่อมีสถานการณ์ความเสียหายเกิดขึ้น

หมวด 14 : ความสอดคล้อง (Compliance)

ข้อ 30 ความสอดคล้อง มีวัตถุประสงค์เพื่อหลีกเลี่ยงการละเมิดข้อผูกพันในกฎหมาย ระเบียบข้อบังคับหรือสัญญาจ้าง ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และที่เป็นความต้องการด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ และเพื่อให้มีการปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศอย่างสอดคล้องกับนโยบายและขั้นตอนปฏิบัติของกรม

พนักงาน ผู้ให้บริการภายนอก ที่อยู่ในขอบเขตระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของกรม ต้องปฏิบัติตามนโยบายการปฏิบัติตามกฎหมาย มาตรฐาน และข้อบังคับ
เพื่อหลีกเลี่ยงการละเมิดข้อผูกพันในกฎหมาย ระเบียบข้อบังคับ หรือสัญญาจ้าง ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และเพื่อให้มีการปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศอย่างสอดคล้องกับนโยบายและขั้นตอนปฏิบัติขององค์กร ทั้งนี้ นโยบายการปฏิบัติตามกฎหมาย มาตรฐาน และข้อบังคับ ได้กล่าวถึงความสอดคล้องกับความต้องการด้านกฎหมายและในสัญญาจ้าง และการทบทวนความมั่นคงปลอดภัยสารสนเทศ

ทั้งนี้ เพื่อใช้เป็นแนวทางในการดำเนินงานด้วยวิธีการทางอิเล็กทรอนิกส์ให้มีความมั่นคงปลอดภัย เชื่อถือได้ เป็นไปตามกฎหมายและระเบียบปฏิบัติที่เกี่ยวข้อง ซึ่งเจ้าหน้าที่ของกรม หน่วยงานภายนอกและผู้รับบริการของกรมต้องถือปฏิบัติตามอย่างเคร่งครัดต่อไป

ประกาศ ณ วันที่ 16 มกราคม พ.ศ. 2566

Phusit Rattanakul Sereereungrit
(Phusit Rattanakul Sereereungrit 氏)
国際貿易振興局長

สำเนาถูกต้อง

(นางสาวอภิชญา โสภณ)
นักวิชาการพาณิชย์ชำนาญการพิเศษ