ประกาศกรมส่งเสริมการค้าระหว่างประเทศเรื่องนโยบายและแนวทางปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ
ของกรมส่งเสริมการค้าระหว่างประเทศ พ.ศ. 2566
กรมส่งเสริมการค้าระหว่างประเทศ มีภารกิจเกี่ยวกับการส่งเสริมการส่งออก ขยายตลาด สินค้าและธุรกิจบริการของไทย พัฒนาและสร้างมูลค่าเพิ่มของสินค้าและธุรกิจบริการส่งออก ให้บริการข้อมูลการค้าและเพิ่มศักยภาพการแข่งขันของผู้ประกอบการไทยในตลาดโลก เพื่อเพิ่มมูลค่าและปริมาณการส่งออกของประเทศไทย โดยกรมได้พัฒนาระบบ สารสนเทศเพื่อตอบสนองภารกิจต่าง ๆ ของกรม อาทิ ระบบสารสนเทศเพื่ออำนวยความสะดวกในการร่วมกิจกรรมกรม ระบบชำระเงินออนไลน์ (e-Payment) ระบบวิเคราะห์สถานการณ์การค้าระหว่างประเทศ และระบบสนับสนุนเพื่ออำนวย ความสะดวกในการปฎิบัติงานของเจ้าหน้าที่
โดยที่เป็นการสมควรกำหนดแนวทางการปฏิบัติงานและการบริหารราชการให้มีความมั่นคงปลอดภัยและเชื่อถือได้ ตลอดจนมีมาตรฐานเป็นที่ยอมรับในระดับสากล กรมส่งเสริมการค้าระหว่างประเทศจึงได้กำหนดแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อเป็นเครื่องมือให้กับผู้ใช้บริการ ผู้ดูแลระบบงาน และผู้เกี่ยวข้องกับระบบเครือข่ายคอมพิวเตอร์ ใช้เป็นแนวทางในการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศของกรมส่งเสริมการค้าระหว่างประเทศ อาศัยอำนาจตามความในมาตรา 32 แห่งพระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 และที่แก้ไขเพิ่มเติม ประกอบกฎกระทรวงแบ่งส่วนราชการกรมส่งเสริมการส่งออก กระทรวงพาณิชย์ พ.ศ. 2553 พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 และที่แก้ไขเพิ่มเติม และประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 อธิบดีกรมส่งเสริมการค้าระหว่างประเทศ จึงออกประกาศไว้ดังต่อไปนี้
หมวด 1 : บททั่วไป
ข้อ 1 ประกาศนี้มีชื่อว่า “ประกาศกรมส่งเสริมการค้าระหว่างประเทศ” เรื่อง นโยบาย และแนวทางปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศของกรมส่งเสริมการค้าระหว่างประเทศ พ.ศ. 2566
ข้อ 2 ประกาศนี้ให้มีผลบังคับใช้นับตั้งแต่บัดนี้เป็นต้นไป
หมวด 2 : นโยบายการใช้งานอุปกรณ์การสื่อสารและการเข้าถึงจากระยะไกล
(Mobile Device and Teleworking Policy)
ข้อ 3 การใช้งานอุปกรณ์การสื่อสารและการเข้าถึงจากระยะไกล มีวัตถุประสงค์เพื่อกำหนดกรอบหน้าที่ความรับผิดชอบของบุคคลที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศและกำหนดนโยบาย
และมาตรการการใช้งานอุปกรณ์การสื่อสารและการเข้าถึงจากระยะไกล (ภายนอก)
ข้อ 4 นโยบายการใช้งานอุปกรณ์การสื่อสารและการเข้าถึงจากระยะไกล
1. ต้องกรอกคำร้องขอใช้งานในแบบฟอร์มที่กรมจัดเตรียมไว้ให้เพื่อยืนยันตัวตนและยืนยันอุปกรณ์
2. ต้องมีการยืนยันตัวตนก่อนการเข้าใช้งาน
3. เจ้าหน้าที่ผู้ดูแลระบบต้องมีการกำหนดสิทธิ์การใช้งานระบบสารสนเทศของกรม ตามสิทธิ์ที่อนุญาตให้สามารถใช้งานได้
4. เจ้าหน้าที่ดูแลระบบต้องมีการควบคุมปริมาณการใช้งานด้านอินเตอร์เน็ต
5. เช่น YouTube, Facebook
6. เจ้าหน้าที่ดูแลระบบต้องควบคุมไม่ให้มีการใช้งานด้านเครือข่ายไปในทาง
7. ที่ไม่เหมาะสม
ข้อ 5 แนวทางการใช้งานอุปกรณ์การสื่อสารและการเข้าถึงจากระยะไกล
1. เจ้าหน้าที่ต้องสามารถระบุตัวตนของอุปกรณ์และมีการจัดทำแฟ้มประวัติ
2. การลงทะเบียน เช่น Mac Address, User และ Password
3. เจ้าหน้าที่ต้องจัดกลุ่มความสำคัญของผู้รับบริการ
4. อุปกรณ์การสื่อสารที่ใช้ในกรมจะต้องติดตั้งโปรแกรมป้องกันไวรัส
5. อุปกรณ์การสื่อสารที่ใช้ต้องอยู่ภายใต้สิทธิ์และเงื่อนไขด้านความปลอดภัยสารสนเทศของกรม เช่น Policy Firewall
ข้อ 6 Teleworking Policy (VPN)
1. ผู้เข้าใช้งานต้องมีการกรอกแบบฟอร์มตามที่กรมจัดเตรียมไว้ให้และต้องให้ผู้ดูแลระบบอนุมัติตามสิทธิ์ที่ได้
2. เมื่อมีการเชื่อมต่อ Network จากภายนอกหน่วยงาน จะต้องมีกระบวนการเข้ารหัสจากผู้ดูแลระบบของกรมและผู้ดูแลต้องมีการทำประวัติการเข้าใช้งาน (Log)
3. ผู้เข้าใช้งานจะมีสิทธิ์เข้าถึงข้อมูลตามที่ได้ร้องขอ และจะไม่สามารถเข้าถึงข้อมูลอื่นของกรมได้
4. ผู้เข้าใช้งานจะหมดสิทธิ์ในการเข้าถึงข้อมูลตามระยะเวลาเป็นรายครั้ง
หมวด 3 : ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล )Human Resource Security)
ข้อ 7 ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล มีวัตถุประสงค์เพื่อให้พนักงานและผู้ที่ทำสัญญาจ้างเข้าใจในหน้าที่ความรับผิดชอบของตนเองและมีความเหมาะสมตามบทบาทของตนเองที่ได้รับการพิจารณา เพื่อให้พนักงานและผู้ที่ทำสัญญาจ้างตระหนักและปฏิบัติตามหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศของตนเอง และเพื่อป้องกันผลประโยชน์ขององค์กรซึ่งเป็นส่วนหนึ่งของกระบวนการเปลี่ยนหรือสิ้นสุดการจ้างงาน
พนักงาน ผู้ให้บริการภายนอก ที่อยู่ในขอบเขตระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของกรม ต้องปฏิบัติตามนโยบายความมั่นคงปลอดภัยด้านทรัพยากรบุคคล เพื่อให้พนักงาน และผู้ให้บริการภายนอกเข้าใจในหน้าที่ความรับผิดชอบของตนเอง และมีความเหมาะสมตามบทบาทของตนเองที่ได้รับการพิจารณา ตระหนัก และปฏิบัติตามหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศของตนเอง และเพื่อป้องกันผลประโยชน์ของกรม ซึ่งเป็นส่วนหนึ่งของกระบวนการสิ้นสุดหรือเปลี่ยนการจ้างงาน
ทั้งนี้ นโยบายความมั่นคงปลอดภัยด้านทรัพยากรบุคคล ได้กล่าวถึงความมั่นคงปลอดภัยในการบริหารงานทรัพยากรบุคคล ได้แก่ กระบวนการบริหารจัดการก่อนการจ้างงาน กระบวนการบริหารจัดการพนักงาน และผู้ให้บริการภายนอกในระหว่างการจ้างงาน และกระบวนการบริหารจัดการเมื่อมีการสิ้นสุด หรือเปลี่ยนการจ้างงาน
หมวด 4 : การบริหารจัดการทรัพย์สิน (Asset Management)
ข้อ 8 การบริหารจัดการทรัพย์สิน มีวัตถุประสงค์เพื่อให้มีการระบุทรัพย์สินขององค์กร และกำหนดหน้าที่ความรับผิดชอบในการป้องกันทรัพย์สินอย่างเหมาะสม ข้อมูลสารสนเทศได้รับระดับการป้องกันที่เหมาะสมโดยสอดคล้องกับความสำคัญของสารสนเทศนั้นที่มีต่อองค์กร และมีการป้องกันการเปิดเผยโดยไม่ได้รับอนุญาต การเปลี่ยนแปลง การขนย้าย การลบ หรือการทำลายสารสนเทศที่จัดเก็บอยู่บนสื่อบันทึกข้อมูล
พนักงาน ผู้ให้บริการภายนอก ที่อยู่ในขอบเขตระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของกรม ต้องปฏิบัติตามนโยบายบริหารจัดการทรัพย์สินสารสนเทศ เพื่อให้มีการระบุทรัพย์สินของกรม และกำหนดหน้าที่ความรับผิดชอบในการป้องกันทรัพย์สินตามระดับการป้องกันที่เหมาะสม และเพื่อป้องกันการเปิดเผยโดยไม่ได้รับอนุญาต การเปลี่ยนแปลง การขนย้าย การลบ หรือการทำลายข้อมูลและสารสนเทศที่จัดเก็บอยู่บนสื่อบันทึกข้อมูล
ทั้งนี้ นโยบายบริหารจัดการทรัพย์สินสารสนเทศ ได้กล่าวถึงการบริหารจัดการทรัพย์สินสารสนเทศให้มีความมั่นคงปลอดภัย ซึ่งรวมถึงการระบุหน้าที่ความรับผิดชอบต่อทรัพย์สินสารสนเทศ (Acceptable use of assets) การจัดชั้นความลับของข้อมูลสารสนเทศ (Information classification) การจัดการบัญชีทรัพย์สิน (Inventory of assets) และการจัดการสื่อบันทึกข้อมูล (Media handling)
หมวด 5 : นโยบายควบคุมการเข้าถึงเครือข่ายสารสนเทศ (Access Control Policy)
ข้อ 9 นโยบายควบคุมการเข้าถึงเครือข่ายสารสนเทศ มีวัตถุประสงค์เพื่อบริหารจัดการสิทธิ์การเข้าถึงของผู้ใช้งาน การทบทวนบัญชีผู้ใช้งานในระยะเวลาหนึ่งและการพิสูจน์ตัวตนเพื่อเข้าใช้งาน
พนักงาน ผู้ให้บริการภายนอก ที่อยู่ในขอบเขตระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของกรม ต้องปฏิบัติตามนโยบายควบคุมการเข้าถึงสารสนเทศ เพื่อควบคุมการเข้าถึงสารสนเทศ อุปกรณ์ประมวลผลสารสนเทศ และระบบงานสารสนเทศของกรม เฉพาะผู้ที่ได้รับอนุญาต และป้องกันการเข้าถึงระบบและบริการโดยไม่ได้รับอนุญาต และเพื่อให้ผู้ใช้งานมีความรับผิดชอบในการป้องกันข้อมูลการพิสูจน์ตัวตน
ข้อ 10 การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User access management)
การให้สิทธิ์
1. เจ้าหน้าที่ที่ปฏิบัติงานกับกรมต้องติดต่อขอแบบฟอร์มเพื่อใช้ระบบสารสนเทศของกรมกับเจ้าหน้าที่ผู้ดูแลระบบ
2. เจ้าหน้าที่ผู้ดูแลระบบตรวจสอบสถานะของผู้ขอแบบฟอร์ม เพื่อกำหนดสิทธิ์การใช้งานของแต่ละบุคคล เช่น E-mail ของกรม, ระบบ Intranet, เว็บไซต์กรม (www.ditp.go.th)
3. ผู้ดูแลระบบต้องตรวจสอบความถูกต้องของข้อมูลตามแบบฟอร์มที่ขอใช้พร้อมกำหนดสิทธิ์การใช้งานตามที่ได้รับ
4. ผู้ดูแลระบบสามารถเพิ่มสิทธิ์ของผู้ใช้งานได้ตามตำแหน่งงานหรือหน้าที่รับผิดชอบ
5. ผู้ดูแลระบบสามารถลดสิทธิ์ของผู้ใช้งานได้ตามตำแหน่งงานหรือหน้าที่รับผิดชอบ
6. ผู้ดูแลระบบสามารถเปลี่ยนสิทธิ์ของผู้ใช้งานได้ตามตำแหน่งงานหรือหน้าที่รับผิดชอบ
การลบสิทธิ์
1. ผู้ดูแลระบบจะมีการลบสิทธิ์การเข้าถึงของผู้ใช้งานเมื่อมีการแจ้งจากระบบนั้นๆ เป็นลายลักษณ์อักษร โดยผู้ดูแลระบบนั้นๆ ต้องมีการเซ็นรับรองการลบสิทธิ์ด้วย
2. ผู้ดูแลระบบสามารถลบสิทธิ์ของเจ้าหน้าที่ ที่ไม่ได้ปฏิบัติงานตามที่กรมกำหนด หรือลาออกจากการปฏิบัติงานของกรมแล้ว
การบริหารจัดการสิทธิ์
1. ผู้ดูแลระบบสามารถย้ายสิทธิ์ของผู้ใช้งานได้ตามสถานการณ์ เช่น มีการโยกย้ายสำนัก
2. ผู้ดูแลระบบสามารถกำหนดสิทธิ์ของผู้ใช้งานตามหน้าที่ของผู้มีสิทธิ์ในการใช้งาน
การทบทวนสิทธิ์
1. ผู้ดูแลระบบต้องดำเนินการทบทวนสิทธิ์การใช้งานระบบของผู้ใช้งานอย่างน้อย 1 ครั้งต่อปี
2. ผู้ดูแลระบบต้องดำเนินการทบทวนสิทธิ์การเชื่อมต่อข้อมูลของระบบที่เกี่ยวข้องกับกรมอย่างน้อย 1 ครั้งต่อปี
3. ผู้ดูแลระบบต้องดำเนินการทบทวนสิทธิ์การเข้าห้อง Data Center อย่างน้อย 1 ครั้งต่อปี
4. ผู้ดูแลระบบต้องดำเนินการทบทวนสิทธิ์การเข้าใช้งานเครื่อง Server
ข้อ 11 การบริหารจัดการสิทธิ์การเข้าถึงตามระดับสิทธิ์ (High Privilege User)
การขอใช้งาน High Privilege User
การขอใช้สิทธิ์สูงสุดจะต้องมีการกรอกแบบฟอร์มขอใช้งานเมื่อมีเหตุจำเป็นเร่งด่วน และต้องมีการยืนยันตัวตนของผู้ร้องขอ โดยมีขั้นตอนและคุณสมบัติประกอบ ดังนี้
1. ต้องมีความเกี่ยวข้องกับระบบสารสนเทศนั้น ๆ
2. ต้องได้รับมอบหมายจากผู้มีส่วนได้ส่วนเสียของระบบ
3. ต้องมีเอกสารยืนยันตัวตนที่ชัดเจน เช่น สำเนาบัตรประชาชน
4. ต้องกรอกแบบฟอร์มการขอใช้สิทธิ์สูงสุด และระบุเวลาการขอใช้สิทธิ์ให้ชัดเจนเป็นรายครั้ง
การใช้สิทธิ์ High Privilege User
ผู้ที่ได้รับมอบสิทธิ์สูงสุดต้องใช้งานอย่างระมัดระวังตลอดระยะเวลาที่ได้รับสิทธิ์ โดยสิทธิ์นั้นจะมีระยะเวลาตามที่ได้รับอนุญาต และต้องไม่ส่งต่อสิทธิ์ที่ได้รับให้บุคคลอื่น หากตรวจสอบพบจะดำเนินการตามบทลงโทษสูงสุด
การสิ้นสุดระยะเวลา High Privilege User
เมื่อผู้ขอใช้งานสิทธิ์สูงสุดครบระยะเวลาที่ได้รับอนุญาต ผู้ที่ให้สิทธิ์จะทำการยกเลิกสิทธิ์ทันที และผู้ให้สิทธิ์จะมีการตรวจสอบความถูกต้อง สำรวจความเสียหายที่อาจจะเกิดขึ้น โดยผู้ที่ขอใช้สิทธิ์สูงสุดจะไม่สามารถเข้าถึงสิทธิ์ที่ได้รับอีกเลย จนกว่าจะมีการขอใช้สิทธิ์อีกครั้ง
บทลงโทษ High Privilege User
1. ผู้ที่ได้รับสิทธิ์การใช้งานสูงสุดต้องใช้งานอย่างระมัดระวัง ในช่วงเวลาที่ได้รับสิทธิ์สูงสุด
2. หากมีข้อผิดพลาด ขณะถือครองสิทธิ์สูงสุด และผู้ดูแลระบบตรวจสอบได้ว่าการกระทำใดๆ ที่เกิดขึ้นแล้วมีผลกระทบต่อระบบหรือเสียหาย ให้ถือเป็นความผิดของผู้ใช้สิทธิ์และไม่สามารถปฏิเสธความรับผิดชอบได้
3. หากระบบสารสนเทศเกิดความเสียหายและความเสียหายที่เกิดขึ้นนั้น ประเมินเป็นมูลค่าได้ ผู้ที่กระทำให้เกิดความเสียหายนั้นต้องกระทำการใดๆ ให้ระบบใช้งานได้สมบูรณ์ ไม่เช่นนั้นกรมมีสิทธิ์นำบุคคลอื่นเข้ามาดำเนินการเพื่อทำให้ระบบสารสนเทศสามารถใช้งานได้ดังเดิม หากมีค่าใช้จ่ายเกิดขึ้น ผู้กระทำให้เกิดความเสียหาย ต้องรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งหมดตามที่ระบุไว้ในสัญญา
ข้อ 12 ระบบบริหารจัดการรหัสผ่าน (Password management system)
เพื่อให้ผู้รับผิดชอบระบบสารสนเทศของหน่วยงานภายในกรมมีการบริหารจัดการรหัสผ่านที่มีคุณภาพของเจ้าหน้าที่ให้มีความมั่นคงปลอดภัยตามแนวทางปฏิบัติ
1. ผู้ที่ใช้งานระบบต้องเก็บรักษารหัสผ่านที่ได้รับให้เป็นความลับ
2. ต้องกำหนดให้รหัสผ่านให้มีตัวอักษรมากกว่า 13 ตัวอักษร โดยประกอบด้วยตัวอักษรที่เป็นตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก อักษรพิเศษ และตัวเลขเข้าด้วยกัน
3. ต้องไม่กำหนดรหัสผ่านส่วนบุคคลจากชื่อหรือนามสกุลของตนเองหรือบุคคลในครอบครัวหรือบุคคลที่มีความสัมพันธ์ใกล้ชิดกับตน หรือจากคำศัพท์ที่ใช้ในพจนานุกรม
4. ต้องไม่ใช้รหัสผ่านส่วนบุคคลสำหรับการใช้แฟ้มข้อมูลร่วมกับบุคคลอื่น (Share File) ผ่านเครือข่ายระบบคอมพิวเตอร์
5. ต้องไม่ใช้โปรแกรมคอมพิวเตอร์ช่วยในการจำรหัสผ่านส่วนบุคคลอัตโนมัติ
6. ต้องไม่จดหรือบันทึกรหัสผ่านส่วนบุคคลไว้ในสถานที่ที่ง่ายต่อการสังเกตเห็นของบุคคลอื่น
7. ต้องกำหนดรหัสผ่านเริ่มต้นให้กับเจ้าหน้าที่ให้ยากต่อการคาดเดา
8. กรณีที่ให้รหัสผ่านแก่ผู้อื่นเนื่องจากมีความจำเป็นในด้านการปฏิบัติงาน หลังจากผู้ปฏิบัติงานได้ดำเนินการเรียบร้อยแล้ว ผู้ให้รหัสผ่านต้องทำการเปลี่ยนรหัสผ่านทันที
หมวด 6 : การเข้ารหัสข้อมูล (Cryptography)
มาตรการเข้ารหัสข้อมูล (Cryptographic controls)
ข้อ 13 มาตรการเข้ารหัสข้อมูล มีวัตถุประสงค์เพื่อเป็นแนวทางในการปกป้องข้อมูลให้มีความสมบูรณ์ ถูกต้อง ไม่ให้ถูกการกระทำการใด ๆ ให้เป็นเหตุข้อมูลรั่วไหลไปสู่ผู้ไม่มีสิทธิ์
พนักงานผู้ให้บริการภายนอก ที่อยู่ในขอบเขตระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของกรม ต้องปฏิบัติตามนโยบายการเข้ารหัสข้อมูล เพื่อให้มีการใช้การเข้ารหัสข้อมูลอย่างเหมาะสม ได้ผล และป้องกันความลับ การปลอมแปลง หรือความถูกต้องของสารสนเทศ
ทั้งนี้ นโยบายกรมได้กำหนดให้ระบบสารสนเทศต่างๆ มีการเข้ารหัส (SSL) เป็นต้น
การบริหารจัดการกุญแจเข้ารหัส (Key Management Policy)
ข้อ 14 การบริหารจัดการกุญแจเข้ารหัส มีวัตถุประสงค์เพื่อให้หน่วยงานมีการส่งข้อมูลอย่างปลอดภัย โดยมีการเข้ารหัสอย่างปลอดภัยไม่ให้ผู้ไม่เกี่ยวข้องสามารถเปิดอ่านหรือนำข้อมูลไปใช้ต่อได้
1. เมื่อกรมมีระบบงานที่เกิดขึ้นจะต้องมีการจัดหาระบบ SSL ให้พร้อมใช้งานเสมอ
2. เพื่อป้องกันการโจรกรรมข้อมูลจากผู้ที่ไม่เกี่ยวข้อง
3. ระบบสารสนเทศภายในกรมต้องมีการใช้งานการเข้ารหัส (SSL) ตลอดระยะเวลาที่ระบบมีการใช้งาน
4. การต่ออายุการเข้ารหัส (SSL) จะต้องอ้างอิงระเบียบการจัดซื้อจัดจ้างของกรม
โดยนโยบายการใช้งาน การป้องกัน และอายุการใช้งานของกุญแจ ต้องมีการจัดทำ และปฏิบัติตามตลอดวงจรชีวิตของกุญแจ
หมวด 7 : ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม
(Physical and environmental Security)
ข้อ 15 ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม มีวัตถุประสงค์เพื่อป้องกันการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต ความเสียหายและการแทรกแซงการทำงาน ที่มีต่อสารสนเทศ และอุปกรณ์ประมวลผลสารสนเทศขององค์กร
พื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย (Secure areas)
มีการกำหนดขอบเขตหรือบริเวณโดยรอบพื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย เพื่อใช้ในการป้องกันพื้นที่สำคัญดังกล่าวอันประกอบไปด้วยสารสนเทศหรืออุปกรณ์ประมวลผลสารสนเทศที่มีความสำคัญ
การควบคุมการเข้าออกทางกายภาพ (Physical entry controls) พื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย ต้องมีการป้องกันโดยมีการควบคุมการเข้าออกอย่างเหมาะสม โดยกำหนดให้เฉพาะผู้ที่ได้รับอนุญาตแล้วเท่านั้นที่สามารถเข้าถึงพื้นที่สำคัญได้
การป้องกันต่อภัยคุกคามจากภายนอกและสภาพแวดล้อม (Protecting against external end environmental threats) มีการออกแบบและติดตั้งอุปกรณ์เพื่อตรวจจับและการป้องกันทางกายภาพต่อภัยพิบัติทางธรรมชาติ การโจมตีหรือการบุกรุก หรืออุบัติเหตุ
การปฏิบัติงานในพื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย (Working in secure areas) มีขั้นตอนปฏิบัติสำหรับการปฏิบัติงานในพื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย
พื้นที่สำหรับรับส่งสิ่งของ (Delivery and loading areas) มีการกำหนดจุดหรือบริเวณที่สามารถเข้าถึงองค์กร เช่น พื้นที่สำหรับรับส่งสิ่งของ บริเวณอื่นๆ ที่ผู้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงพื้นที่ขององค์กรได้ และหากเป็นไปได้ จุดหรือบริเวณดังกล่าวควรแยกออกมาจากบริเวณที่มีอุปกรณ์ประมวลผลสารสนเทศ เพื่อหลีกเลี่ยงการเข้าถึงโดยผู้ที่ไม่ได้รับอนุญาต
อุปกรณ์ (Equipment)
ข้อ 16 อุปกรณ์ มีวัตถุประสงค์เพื่อป้องกันการสูญหาย การเสียหาย การขโมย หรือการเป็นอันตรายต่อทรัพย์สินและป้องกันการหยุดชะงักต่อการดำเนินงานขององค์กร
นโยบายการจัดการหน้าจอหรือพื้นที่ในการปฏิบัติงาน (Clear Desk & Clear Screen Policy)
ข้อ 17 นโยบายการจัดการหน้าจอหรือพื้นที่ในการปฏิบัติงาน มีวัตถุประสงค์เพื่อป้องกันความลับรั่วไหล และสร้างความตระหนักให้กับผู้ใช้งานก่อนออกจากพื้นที่ปฏิบัติงาน
แนวทางปฏิบัติ
1. ผู้ปฏิบัติงานต้องออกจากระบบสารสนเทศ (Logout) ทันทีที่เสร็จสิ้นการปฏิบัติงาน
2. ผู้ปฏิบัติงานต้องไม่ติดรหัสผ่านหรือเอกสารที่เกี่ยวข้องกับรหัสผ่านในที่สังเกตเห็นได้ชัด
3. ผู้ปฏิบัติงานต้องตั้งค่าการออกจากระบบสารสนเทศ (Logout) หากไม่ได้ใช้งานนานเกิน 5 นาที
4. ผู้ปฏิบัติงานต้องไม่เก็บไฟล์เอกสารที่มีรหัสผ่านหรือมีความลับไว้ที่หน้าจอ
5. ผู้ปฏิบัติงานต้องไม่เก็บเอกสารที่มีความลับไว้บนโต๊ะทำงานหลังจากเลิกงาน หรือเวลาที่ไม่ได้อยู่ที่โต๊ะทำงานต้องเก็บเอกสารที่เป็นความลับไว้ในที่ปลอดภัย เช่น ตู้เอกสารที่มีกุญแจควบคุมการปิดเปิด
6. ผู้ปฏิบัติงานต้องระมัดระวังการนำอาหารหรือเครื่องดื่มมารับประทานที่โต๊ะทำงาน เนื่องจากอาจก่อให้เกิดความเสียหายแก่เอกสารได้
7. ผู้ปฏิบัติงานต้องปิดสวิตช์หรือถอดปลั๊กไฟทุกครั้งหลังจากใช้งาน เนื่องจากอาจก่อให้เกิดความเสียหายแก่เอกสารและอุปกรณ์อิเล็กทรอนิกส์ได้
หมวด 8 : ความมั่นคงปลอดภัยสำหรับการดำเนินงาน (Operations Security)
ขั้นตอนการปฏิบัติงานและหน้าที่ความรับผิดชอบ (Operational Procedures and Responsibilities)
ข้อ 18 ความมั่นคงปลอดภัยสำหรับการดำเนินงาน มีวัตถุประสงค์เพื่อให้การปฏิบัติงานกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและมั่นคงปลอดภัย
1. ขั้นตอนการปฏิบัติงานที่เป็นลายลักษณ์อักษร (Documented operating procedures)
ขั้นตอนการปฏิบัติงานต้องมีการจัดทำเป็นลายลักษณ์อักษรและต้องสามารถเข้าถึงได้โดยผู้ที่จำเป็นต้องใช้งาน เพื่อให้การปฏิบัติงานกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้อง และมีความมั่นคงปลอดภัย กรมส่งเสริมการค้าระหว่างประเทศได้กำหนดให้จัดทำขั้นตอนการปฏิบัติงานที่สำคัญไว้เป็นลายลักษณ์อักษร เช่น เอกสารขั้นตอนการดำเนินการ backup เอกสารการเช็คความพร้อมใช้งานของระบบ (Check List Capacity) และการบริหารจัดการการเปลี่ยนแปลง (Change management) เป็นต้น
2. การบริหารจัดการการเปลี่ยนแปลง (Change management) การเปลี่ยนแปลงต่อองค์กร กระบวนการทางธุรกิจ อุปกรณ์ประมวลผลสารสนเทศและระบบที่มีผลต่อความมั่นคงปลอดภัยสารสนเทศ ต้องมีการควบคุมการดำเนินการตามคู่มือการปฏิบัติงาน ISMS_PC_Change
3. การบริหารจัดการขีดความสามารถของระบบ (Capacity management) การใช้ทรัพยากรของระบบต้องมีการติดตาม ปรับปรุง และคาดการณ์ความต้องการเพิ่มเติมในอนาคตเพื่อให้ระบบมีประสิทธิภาพตามที่ต้องการ
4. การแยกสภาพแวดล้อมสำหรับการพัฒนา การทดสอบ และการให้บริการออกจากกัน (Separation of development, testing and operational environments) สภาพแวดล้อมสำหรับการพัฒนา การทดสอบ และการให้บริการ ต้องมีการจัดทำแยกกันเพื่อลดความเสี่ยงของการเข้าถึงหรือการเปลี่ยนแปลงสภาพแวดล้อมสำหรับการให้บริการโดยไม่ได้รับอนุญาต
การป้องกันโปรแกรมไม่ประสงค์ดี (Protection from Malware)
ข้อ 19 การป้องกันโปรแกรมไม่ประสงค์ดี มีวัตถุประสงค์เพื่อให้สารสนเทศและอุปกรณ์ประมวลผลสารสนเทศได้รับการป้องกันจากโปรแกรมไม่ประสงค์ดี
มีมาตรการตรวจหา การป้องกัน และการกู้คืน จากโปรแกรมไม่ประสงค์ดี ต้องมีการดำเนินการร่วมกับการสร้างความตระหนักผู้ใช้งานที่เหมาะสม เพื่อให้ระบบสารสนเทศและอุปกรณ์ประมวลผลได้รับการป้องกันจากโปรแกรมไม่ประสงค์ดี เช่น ไวรัส วอร์ม มัลแวร์ กรมส่งเสริมการค้าระหว่างประเทศได้มีการกำหนดให้มีการอัพเดตสม่ำเสมอและสแกนไวรัสอย่างน้อยสัปดาห์ละ 1 ครั้ง
การสำรองข้อมูล (Backup)
ข้อ 20 การสำรองข้อมูล มีวัตถุประสงค์เพื่อป้องกันการสูญหายของข้อมูลและการพร้อมใช้งานของระบบสารสนเทศ
1. ในการสำรองข้อมูลระบบสารสนเทศคอมพิวเตอร์แม่ข่ายของกรม แบ่งออกเป็น 2 สถานที่ ตามสถานที่ที่ตั้งอยู่ ซึ่งได้แก่ ศูนย์ข้อมูลสำนักปลัดกระทรวงพาณิชย์ (Moc Cloud) และห้องคอมพิวเตอร์แม่ข่ายของกรมส่งเสริมการค้าระหว่างประเทศที่กระทรวงพาณิชย์จังหวัดนนทบุรี
2. กระบวนการในการสำรองข้อมูล สามารถดูได้จาก Backup Flow Chart ซึ่งเป็นขั้นตอนและกระบวนการในการสำรองข้อมูลแบบสมบูรณ์ (Complete Backup)
3. ในการสำรองข้อมูลคอมพิวเตอร์แม่ข่ายของกรมส่งเสริมการค้าระหว่างประเทศ ต้องดำเนินการตามแผนการดำเนินงาน ซึ่งแต่ละประเภทของคอมพิวเตอร์แม่ข่ายจะมีการสำรองข้อมูลแตกต่างกันออกไป
4. ความถี่ในการสำรองข้อมูลอาจแบ่งได้เป็นแบบ ส่วนที่เพิ่มขึ้นรายวัน (Increment Backup) และแบบเต็มระบบเป็นรายสัปดาห์ (Full Backup)
5. รายละเอียดในการสำรองข้อมูลของแต่ละเครื่องคอมพิวเตอร์แม่ข่าย สามารถดูได้จากตารางการสำรองข้อมูล
6. การสำรองข้อมูลแบบตั้งเวลาดำเนินการอัตโนมัติ
7. ทุกครั้งที่เจ้าหน้าที่ทำการตรวจสอบเครื่องคอมพิวเตอร์แม่ข่าย จะต้องมีการบันทึกลงวันที่และเวลาในการดำเนินงาน
8. กำหนดให้มีการทดสอบการ Restore ในการพร้อมใช้งานอย่างน้อยราย 6 เดือน ต่อครั้ง ทดสอบการใช้งานเพื่อให้มั่นใจว่าระบบสามารถใช้งานได้อย่างถูกต้องสมบูรณ์
การบันทึกข้อมูลล็อกและการเฝ้าระวัง (Logging and Monitoring)
ข้อ 21 การบันทึกข้อมูลล็อกและการเฝ้าระวัง มีวัตถุประสงค์เพื่อให้มีการบันทึกเหตุการณ์และจัดทำหลักฐาน
1. การบันทึกข้อมูลล็อกแสดงเหตุการณ์ (Event logging) ข้อมูลล็อกแสดงเหตุการณ์ซึ่งบันทึกกิจกรรมของผู้ใช้งาน การทำงานของระบบที่ไม่เป็นไปตามขั้นตอนปกติ ความผิดพลาดในการทำงานของระบบ และเหตุการณ์ความมั่นคงปลอดภัย มีการบันทึกไว้ จัดเก็บ และทบทวนอย่างสม่ำเสมอ
2. การป้องกันข้อมูลล็อก (Protection of log information) อุปกรณ์บันทึกข้อมูลล็อกและข้อมูลล็อกต้องได้รับการป้องกันจากการเปลี่ยนแปลงแก้ไขและการเข้าถึงโดยไม่ได้รับอนุญาต
3. ข้อมูลล็อกกิจกรรมของผู้ดูแลระบบและเจ้าหน้าที่ปฏิบัติการระบบ (Administrator and operator logs) กิจกรรมของผู้ดูแลระบบและเจ้าหน้าที่ปฏิบัติการต้องมีการบันทึกไว้เป็นข้อมูลล็อก ข้อมูลดังกล่าวมีการป้องกันและทบทวนอย่างสม่ำเสมอ
4. การตั้งนาฬิกาให้ถูกต้อง (Clock Synchronization) นาฬิกาของระบบที่เกี่ยวข้องทั้งหมดภายในองค์กรหรือในขอบเขตหนึ่ง ต้องมีการตั้งให้ตรงและถูกต้องเทียบกับแหล่งอ้างอิงเวลาแห่งหนึ่ง
การควบคุมการติดตั้งซอฟต์แวร์บนระบบให้บริการ (Control of operational software)
ข้อ 22 การควบคุมการติดตั้งซอฟต์แวร์บนระบบให้บริการ มีวัตถุประสงค์เพื่อให้ระบบให้บริการมีการทำงานที่ถูกต้อง
มีขั้นตอนปฏิบัติสำหรับการควบคุมการติดตั้งซอฟต์แวร์บนระบบให้บริการ (Installation of software on operational systems) เพื่อให้ระบบที่ให้บริการมีการดำเนินงานได้ถูกต้อง กำหนดให้มีขั้นตอนการปฏิบัติงานสำหรับการติดตั้งซอฟต์แวร์คอมพิวเตอร์ เจ้าหน้าที่เทคนิคของสารสนเทศจะติดตั้งซอฟต์แวร์พร้อมใช้งานที่ถูกต้องตามลิขสิทธิ์ที่ได้รับจัดสรรเท่านั้น และเมื่อต้องการติดตั้งซอฟต์แวร์เพิ่มเติม นอกเหนือจากที่มีในทะเบียนซอฟต์แวร์ที่ได้รับอนุญาตต้องมีการกรอกแบบฟอร์มขอใช้ซอฟต์แวร์เพิ่มเติม
การบริหารจัดการช่องโหว่ทางเทคนิค (Technical Vulnerability Management)
ข้อ 23 การบริหารจัดการช่องโหว่ทางเทคนิค มีวัตถุประสงค์เพื่อให้การปฏิบัติงานกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและมั่นคงปลอดภั เพื่อป้องกันการโจมตีจากช่องโหว่ทางเทคนิค ข้อมูลเกี่ยวกับช่องโหว่ทางเทคนิคจำเป็นต้องมีการติดตามอย่างสม่ำเสมอ ดังนั้น กรมส่งเสิรมการค้ารหะหว่างประเทศ กำหนดให้มีการสแกนช่องโหว่ทางเทคนิคอย่างน้อยปีละ 1 ครั้ง นอกจากสแกนช่องโหว่แล้ว เพื่อเป็นการป้องกัน กำหนดให้มีการจำกัดสิทธิ์ในการติดตั้งซอฟต์แวร์ในการปฏิบัติงาน กำหนดให้เครื่องที่อยู่ในระบบติดตั้งซอฟต์แวร์ที่ได้รับอนุญาตที่อยู่ในระบบเท่านั้น (ทะเบียนซอฟต์แวร์ที่ได้รับอนุญาต) หากมีความประสงค์ต้องการติดตั้งซอฟต์แวร์ที่อยู่นอกเหนือการอนุญาตให้กรอกแบบฟอร์มขอใช้ซอฟต์แวร์เพิ่มเติม
สิ่งต้องพิจารณาในการตรวจสอบระบบ (Information System Audit Considerations)
ข้อ 24 สิ่งต้องพิจารณาในการตรวจสอบระบบ มีวัตถุประสงค์เพื่อลดผลกระทบของกิจกรรมการตรวจประเมินบนระบบให้บริการความต้องการในการตรวจประเมินและกิจกรรมการตรวจประเมินระบบให้บริการต้องมีการวางแผนและตกลงร่วมกันอย่างระมัดระวังเพื่อลดโอกาสการหยุดชะงักที่มีต่อกระบวนการทางธุรกิจเพื่อลดผลกระทบความไม่สอดคล้องของกิจกรรมการตรวจประเมินบนระบบ ISO/IEC27001:2013 กำหนดให้มีการจัดกิจกรรมตรวจประเมินแบบ System Audit หัวข้อที่ตรวจประเมินเบื้องต้นโดยทีม System Audit Backup, Capacity, Review Rights
หมวด 9 : ความมั่นคงปลอดภัยสำหรับการสื่อสารข้อมูล (Communications security)
ข้อ 25 ความมั่นคงปลอดภัยสำหรับการสื่อสารข้อมูล มีวัตถุประสงค์เพื่อปกป้องข้อมูลที่มีการส่งต่อแก่ผู้รับข้อมูลให้มีความปลอดภัยไม่ให้มีการเปิดอ่านหรือแก้ไขก่อนถึงผู้รับ
1. นโยบายและขั้นตอนปฏิบัติสำหรับการถ่ายโอนสารสนเทศ (Information transfer policies and procedures) นโยบาย ขั้นตอนปฏิบัติ และมาตรการสำหรับการถ่ายโอนสารสนเทศ
2. มีการปฏิบัติเพื่อป้องกันสารสนเทศที่มีการถ่ายโอน โดยผ่านทางการใช้อุปกรณ์การสื่อสารทุกประเภท
3. การส่งข้อมูลระหว่างกัน ข้อมูลนั้นต้องมีการเข้ารหัสของข้อมูลเพื่อความปลอดภัย โดยผู้ส่งและผู้รับต้องใช้รหัสเดียวกัน (SSL)
4. ข้อตกลงการรักษาความลับหรือการไม่เปิดเผยความลับ (Confidentiality or nondisclosure agreements) เมื่อมีการแลกเปลี่ยนข้อมูลที่เกิดขึ้นให้มีความสอดคล้องเฉพาะข้อมูลนั้น และป้องกันการเข้าถึงข้อมูลอื่น ๆ ที่ไม่เกี่ยวข้องได้
5. เมื่อมีการแลกเปลี่ยนข้อมูล ผู้ทำการรับส่งหรือแลกเปลี่ยนข้อมูลกับทางกรมต้องมีการทำข้อตกลงไม่เปิดเผยข้อมูลเป็นลายลักษณ์อักษร และต้องไม่นำข้อมูลนั้นไปใช้งานนอกเหนือจากที่ระบุไว้โดยไม่ได้รับอนุญาต
6. ในการสื่อสารข้อมูลของการทำงานนั้นกำหนดให้ใช้ E-mail ขององค์กรเท่านั้น
หมวด 10 : การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition, development and maintenance)
ข้อ 26 การจัดหา การพัฒนา และการบำรุงรักษาระบบ มีวัตถุประสงค์เพื่อให้ความมั่นคงปลอดภัยสารสนเทศเป็นองค์ประกอบสำคัญหนึ่งของระบบ ตลอดวงจรชีวิตของการพัฒนาระบบ ซึ่งรวมถึงความต้องการด้านระบบที่มีการให้บริการผ่านเครือข่ายสาธารณะด้วย
1. ระบบสารสนเทศของกรมที่ทำงานผ่านอินเตอร์เน็ตต้องระบุให้มีการเข้ารหัส SSL
2. ระบบสารสนเทศของกรมที่ถูกพัฒนาขึ้นต้องคำนึงถึงความปลอดภัยของระบบ
3. สภาพแวดล้อมที่มีการป้องกันความปลอดภัย (Security Environment)
4. ระบบสารสนเทศต้องมีการทดสอบระบบงานทุกครั้งก่อนนำไปใช้งานจริง
5. ระบบสารสนเทศที่พัฒนาต้องอยู่ในสภาพแวดล้อมที่มีความปลอดภัย มีการ Update Antivirus ล่าสุด Patch Security Updated OS ล่าสุด และรวมถึงเครื่องมือที่ใช้ในการพัฒนาต้องมีความปลอดภัยและไม่มีช่องโหว่ที่ก่อให้เกิดการคุกคามจากภายนอก
6. ขั้นตอนการแก้ไข/เปลี่ยนแปลงระบบ (Change Procedure)
7. ก่อนที่จะมีการนำข้อมูลสารสนเทศที่มีการปรับปรุง แก้ไขหรือเปลี่ยนแปลงขึ้นสู่ระบบต้องมีการแจ้งและได้รับความเห็นชอบจากกรม
8. ต้องมีการทำสำเนาเวอร์ชั่นทุกครั้งก่อนที่มีการปรับปรุง แก้ไขหรือเปลี่ยนแปลง
9. หลังมีการปรับปรุง แก้ไขหรือเปลี่ยนแปลง ต้องมีการทดสอบว่าสามารถใช้งานได้จริง
10. หากระบบที่ผ่านการปรับปรุง แก้ไขหรือเปลี่ยนแปลงไม่สามารถใช้งานได้
11. ต้องสามารถนำสำเนาก่อนหน้านั้นมาใช้งานได้ทันท
12. รายงานผลการทดสอบการใช้งาน (User Acceptance Testing Report)
13. ต้องมีผลสรุปการทดสอบฟังก์ชันต่าง ๆ ตามที่กำหนด
14. ฟังก์ชันใช้ต่าง ๆ ต้องใช้งานได้ครบถ้วน
15. หลังจากมีการทดสอบต้องมีเซ็นการยอมรับผลการทดสอบในรายงานของทั้ง 2 ฝ่าย ทั้งผู้รับจ้างและผู้ใช้งาน
16. รายงานผลการทดสอบด้านความปลอดภัย (Security Testing Report)
17. ต้องมีผลสรุปการทดสอบด้านความปลอดภัยของระบบ
18. ต้องมีการเซ็นยอมรับรองผลการทดสอบของกรมเป็นอย่างน้อย
19. ไม่ใช้ข้อมูลจริงในการทดสอบ
20. หากมีการทดสอบข้อมูลหรือฟังก์ชันต่าง ๆ ต้องไม่นำข้อมูลจริงมาทดสอบ
21. ต้องมีกระบวนการรักษาความปลอดภัยตลอดระยะเวลาการทดสอบเพื่อไม่ให้ข้อมูลรั่วไหล
22. ต้องไม่มีการนำระบบมาทดสอบการใช้งานบนสภาพแวดล้อมจริง เพื่อป้องกันความผิดพลาดที่อาจจะเกิดขึ้นได้
23. ต้องมีการปกป้องคุ้มครองการเข้าถึง Source Code
24. ไม่เก็บ Source Code ไว้ในเครื่องที่ใช้งานจริง
25. ต้องมีการเข้ารหัสผ่าน Source Code ทุกครั้ง และรหัสผ่านนั้นต้องตรวจสอบให้แน่ใจว่าไม่สามารถเข้าถึงได้ถ้าไม่ได้เกี่ยวข้องกับงานด้าน Source Code
26. ต้องมีการกำหนดสิทธิ์ในการเข้าใช้งาน Source Code
27. Source Code จะต้องไม่สามารถเข้าถึงได้ นอกจากผ่านทางเครื่องระบบที่เกี่ยวข้อ
28. หากมีความจำเป็นที่ต้องนำ Source Code ที่พัฒนาเสร็จแล้ว มาพัฒนาเพิ่มเติม
29. ต้องได้รับการอนุญาตจากเจ้าของ Source Code
30. Source Code ที่พัฒนาเสร็จสิ้น ห้ามผู้รับจ้างนำไปเผยแพร่หรือพัฒนาต่อยอดเว้นแต่ได้รับอนุญาตจากกรม และให้ถือว่า Source Code เป็นลิขสิทธิ์ของกรม
หมวด 11 : การจัดการความสัมพันธ์กับผู้ให้บริการภายนอก
(Information Security for Supplier Relationships)
ความมั่นคงปลอดภัยสารสนเทศกับความสัมพันธ์กับผู้ให้บริการภายนอก (Information security in supplier relationship)
ข้อ 27 ความมั่นคงปลอดภัยสารสนเทศกับความสัมพันธ์กับผู้ให้บริการภายนอก มีวัตถุประสงค์เพื่อให้มีการป้องกันทรัพย์สินขององค์กรที่มีการเข้าถึงโดยผู้ให้บริการภายนอก และเพื่อให้มีการรักษาไว้ซึ่งระดับความมั่นคงปลอดภัยและระดับการให้บริการตามที่ตกลงกันไว้ในข้อตกลงการให้บริการของผู้ให้บริการภายนอก
1. ต้องทำหนังสือรับรองเพื่อยืนยันต่อกรมว่าซอฟต์แวร์ทุกประเภทที่ใช้กับงานของกรมไม่มีซอฟต์แวร์แอบแฝงหรือซอฟต์แวร์มุ่งร้ายใดๆ และหากกรมตรวจพบ ผู้รับจ้างต้องรับผิดชอบในความเสียหายที่เกิดขึ้นทั้งหมด
2. บริษัทผู้รับจ้างต้องไม่ประมาทเลินเล่อจนก่อเกิดความเสียหายแก่กรม และความเสียหายที่เกิดขึ้นบริษัทผู้รับจ้างจะต้องรับผิดชอบทั้งหมดรวมทั้งค่าใช้จ่ายในการแก้ไขที่เกิดขึ้นทั้งหม
3. บริษัทผู้รับจ้างต้องรับผิดชอบความปลอดภัยของข้อมูล เช่นการจัดเก็บข้อมูล
4. การโยกย้าย การทำสำเนา และต้องแจ้งเจ้าของข้อมูลก่อนปฏิบัติงานทุกครั้ง
5. ผู้รับจ้างต้องยินยอมลงนามในสัญญาที่จะไม่เปิดเผยข้อมูลที่กรมเป็นผู้จัดทำขึ้นมา
6. หากผู้รับจ้างจำเป็นต้องใช้ข้อมูลในชั้นความลับ ต้องผ่านการขออนุญาตจากเจ้าของข้อมูลทุกครั้ง ก่อนการปฏิบัติงานนั้น
7. ผู้รับจ้างจะต้องมีการกำหนดสิทธิ์ในการเข้าใช้งานข้อมูลที่สำคัญของกรม โดยต้องเสนอแนวทางให้กรม หรือเจ้าของระบบพิจารณาแล้วเห็นชอบ
8. ผู้รับจ้างจะต้องมีการหาแนวทางแก้ไขปัญหาที่อาจจะเกิดขึ้น โดยนำเสนอแนวทางให้กรม หรือเจ้าของระบบพิจารณาแล้วเห็นชอบ
9. ผู้รับจ้างจะต้องแจ้งหน่วยงานกรมที่ควบคุมดูแลการทำงานของผู้รับจ้างทันทีในกรณีที่เกิดเหตุการณ์ละเมิดความปลอดภัยสารสนเทศของกรม
10. ห้ามมิให้ผู้รับจ้างนำข้อมูลและสื่อเก็บข้อมูลที่จัดอยู่ในลำดับชั้นลับขึ้นไปออกจากกรม โดยไม่มีการควบคุมที่เหมาะสม ทั้งนี้ ต้องแจ้งให้หน่วยงานของกรมที่ควบคุมดูแลการทำงานของผู้รับจ้างพิจารณาความเหมาะสมก่อน
11. ห้ามมิให้ผู้รับจ้างนำอุปกรณ์ประมวลผลที่ไม่ใช่ของกรมมาต่อเข้ากับระบบเครือข่ายภายในของกรม เว้นแต่ได้รับอนุญาตจากหน่วยงานของกรม ที่ควบคุมดูแลการทำงานของผู้รับจ้างและงานบริหารความปลอดภัยสารสนเทศพิจารณาแล้วเห็นชอบ หากผู้รับจ้างมีการเปลี่ยนแปลงเงื่อนไขการให้บริการของระบบต้องได้รับการอนุญาตจากเข้าของระบบ และการเปลี่ยนแปลงนั้นต้องไม่มีผลกระทบต่อระบบที่ใช้งานในปัจจุบัน รวมถึงระบบอื่น ๆ ที่เกี่ยวข้อง และกรมยอมรับได้โดยมีการขออนุญาตเข้ามาทุกครั้ง
12. กรมต้องมีข้อกำหนดในสัญญาจ้างให้ครอบคลุมไปถึงกรณีการจ้างช่วง โดยกำหนดให้
13. ผู้รับจ้างต้องยอมรับความผิดโดยไม่สามารถปฏิเสธความรับผิดชอบได้ ทั้งผู้รับจ้าง หรือบุคคลภายนอกที่ผู้รับจ้าง จ้างเข้ามาทำงานในงานที่ผู้รับจ้างได้รับจากกรม
14. กรมหรือเจ้าของระบบต้องประเมินการปฏิบัติงานว่าตรงตามขอบเขตของงาน (TOR) ที่กำหนด พร้อมทั้งทบทวนการปฏิบัติงานตามที่กรมหรือเจ้าของระบบร้องขอ
15. ผู้รับจ้างต้องปฏิบัติตามระเบียบการจัดซื้อจัดจ้างของภาครัฐ
16. ผู้รับจ้างต้องปฏิบัติตามขอบเขตของงาน (TOR) และเงื่อนไข ที่กรมกำหนดอย่างเคร่งครัด
17. ผู้รับจ้างต้องยินยอมให้กรมมีสิทธิ์ในการเข้าตรวจสอบการทำงานได้ในทุกขั้นตอนในช่วงที่ผู้รับจ้างปฏิบัติงานให้กรม
หมวด 12 : การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management)
ข้อ 28 การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ มีวัตถุประสงค์เพื่อให้มีวิธีการที่สอดคล้องกันและได้ผลสำหรับการบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ ซึ่งรวมถึงการแจ้งสถานการณ์ความมั่นคงปลอดภัยสารสนเทศและจุดอ่อนความมั่นคงปลอดภัยสารสนเทศ
1. หน้าที่ความรับผิดชอบและขั้นตอนปฏิบัติ (Responsibilities and procedures) มีขั้นตอนปฏิบัติสำหรับการบริหารจัดการต้องมีการกำหนดเพื่อให้มี การตอบสนองอย่างรวดเร็ว ได้ผล และตามลำดับต่อเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศตามเอกสาร ISMS_PC_Incident
2. การรายงานสถานการณ์ความมั่นคงปลอดภัยสารสนเทศ (Reporting information security events) มีการรายงานสถานการณ์ความมั่นคงปลอดภัยสารสนเทศต้องผ่านทางช่องทางการบริหารจัดการที่เหมาะสมและรายงานอย่างรวดเร็วที่สุดเท่าที่จะทำได้
3. การรายงานจุดอ่อนความมั่นคงปลอดภัยสารสนเทศ (Reporting information security weaknesses) พนักงานและผู้ที่ทำสัญญาจ้างซึ่งใช้ระบบและบริการสารสนเทศขององค์กรต้องสังเกตและ รายงานจุดอ่อนความมั่นคงปลอดภัยสารสนเทศในระบบหรือบริการที่สังเกตพบหรือที่สงสัย
4. การประเมินและตัดสินใจต่อสถานการณ์ความมั่นคงปลอดภัยสารสนเทศ (Assessment of and decision on information security events) สถานการณ์ความมั่นคงปลอดภัยสารสนเทศต้องมีการประเมินและต้องมีการตัดสินว่าสถานการณ์นั้นเป็นเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศหรือไม่
5. การตอบสนองต่อเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Response to information security incidents) เหตุการณ์ความมั่นคงปลอดภัยสารสนเทศต้องได้รับการตอบสนองเพื่อจัดการกับปัญหาตามขั้นตอนปฏิบัติที่จัดทำไว้เป็นลายลักษณ์อักษร
6. การเรียนรู้จากเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Learning from information security incidents) ความรู้ที่ได้รับจากการวิเคราะห์และแก้ไขเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศต้องถูกนำมาใช้เพื่อลดโอกาสหรือผลกระทบของเหตุการณ์ความมั่นคงปลอดภัยที่จะเกิดขึ้นในอนาค
7. การเก็บรวบรวมหลักฐาน (Collection of evidence) มีการกำหนด และประยุกต์ใช้ขั้นตอนปฏิบัติสำหรับการระบุ การรวบรวม การจัดหา และการจัดเก็บสารสนเทศซึ่งสามารถใช้เป็นหลักฐาน
หมวด 13 : ประเด็นด้านความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ (Information security aspects of business continuity management)
ข้อ 29 ประเด็นด้านความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ มีวัตถุประสงค์เพื่อให้ระบบการบริหารจัดการความต่อเนื่องทางธุรกิจของการรักษาความปลอดภัยข้อมูลเพื่อจัดเตรียมสภาพความพร้อมใช้ของอุปกรณ์ประมวลผลสารสนเทศเวลาเกิดภัยพิบัติ หรือเหตุการณ์วิกฤต
1. มีการกำหนดความต้องการด้านความมั่นคงปลอดภัยสารสนเทศและด้านความต่อเนื่องในสถานการณ์ความเสียหายที่เกิดขึ้น เช่น ในช่วงที่เกิดวิกฤตหรือภัยพิบัติหนึ่ง
2. มีการกำหนด ขั้นตอนปฏิบัติ และมาตรการ เพื่อให้ได้ระดับความต่อเนื่องด้านความมั่นคงปลอดภัยสารสนเทศที่กำหนดไว้เมื่อมีสถานการณ์ความเสียหายหนึ่งเกิดขึ้น
3. มีการตรวจสอบมาตรการสร้างความต่อเนื่องที่ได้เตรียมการไว้ตามรอบระยะเวลาที่กำหนด อย่างน้อยปีละ1 ครั้ง เพื่อให้มั่นใจว่ามาตรการเหล่านั้นยังถูกต้องและได้ผลเมื่อมีสถานการณ์ความเสียหายเกิดขึ้น
หมวด 14 : ความสอดคล้อง (Compliance)
ข้อ 30 ความสอดคล้อง มีวัตถุประสงค์เพื่อหลีกเลี่ยงการละเมิดข้อผูกพันในกฎหมาย ระเบียบข้อบังคับหรือสัญญาจ้าง ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และที่เป็นความต้องการด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ และเพื่อให้มีการปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศอย่างสอดคล้องกับนโยบายและขั้นตอนปฏิบัติของกรม
พนักงาน ผู้ให้บริการภายนอก ที่อยู่ในขอบเขตระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของกรม ต้องปฏิบัติตามนโยบายการปฏิบัติตามกฎหมาย มาตรฐาน และข้อบังคับ เพื่อหลีกเลี่ยงการละเมิดข้อผูกพันในกฎหมาย ระเบียบข้อบังคับ หรือสัญญาจ้าง ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และเพื่อให้มีการปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศอย่างสอดคล้องกับนโยบายและขั้นตอนปฏิบัติขององค์กร ทั้งนี้ นโยบายการปฏิบัติตามกฎหมาย มาตรฐาน และข้อบังคับ ได้กล่าวถึงความสอดคล้องกับความต้องการด้านกฎหมายและในสัญญาจ้าง และการทบทวนความมั่นคงปลอดภัยสารสนเทศ
ทั้งนี้ เพื่อใช้เป็นแนวทางในการดำเนินงานด้วยวิธีการทางอิเล็กทรอนิกส์ให้มีความมั่นคงปลอดภัย เชื่อถือได้ เป็นไปตามกฎหมายและระเบียบปฏิบัติที่เกี่ยวข้อง ซึ่งเจ้าหน้าที่ของกรม หน่วยงานภายนอกและผู้รับบริการของกรมต้องถือปฏิบัติตามอย่างเคร่งครัดต่อไป
ประกาศ ณ วันที่ 16 มกราคม พ.ศ. 2566
ภูสิต รัตนกุล เสรีเริงฤทธิ์
(นายภูสิต รัตนกุล เสรีเริงฤทธิ์)
อธิบดีกรมส่งเสริมการค้าระหว่างประเทศ
สำเนาถูกต้อง
(นางสาวอภิชญา โสภณ)
นักวิชาการพาณิชย์ชำนาญการพิเศษ
กรมส่งเสริมการค้าระหว่างประเทศ
กระทรวงพาณิชย์
563 ถนน นนทบุรี ตำบล บางกระสอ
อำเภอเมืองนนทบุรี นนทบุรี 11000
โทรศัพท์: 02-507-7999
สายตรงการค้าระหว่างประเทศ: 1169
Thai 
English 
Chinese 
Japanese 
German