ข้อ 2 แนวทางปฏิบัติตามข้อ 1 วรรคหนึ่งมีรายละเอียดตามที่กําหนดในภาคผนวกที่แนบท้ายประกาศแนวปฏิบัตินี้ ทั้งนี้ รายละเอียดดังกล่าวได้แก่เรื่องดังต่อไปนี้
(1) หมวดที่ 1 การกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กรที่ดี (governance of enterprise IT)
(2) หมวดที่ 2 การรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (IT security)โดยมีรายละเอียดดังต่อไปนี้
2.1 แนวทางปฏิบัติเพิ่มเติมเกี่ยวกับนโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (information security policy)
2.2 การจัดโครงสร้างความมั่นคงปลอดภัยของระบบสารสนเทศ (organization of information security) 2.3 การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร(human resource security)
2.4 การบริหารจัดการทรัพย์สินสารสนเทศ (asset management)
2.5 การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ (access control)
2.6 การควบคุมการเข้ารหัสข้อมูล (cryptographic control)
2.7 การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม(physical and environmental security)
2.8 การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ (operations security)
2.9 การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์ (communications security)
2.10 การจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศ (system acquisition, development and maintenance)
2.11 การใช้บริการระบบสารสนเทศจากผู้รับดําเนินการ (IT outsourcing)
2.12 การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (information security incident management) 2.13 การบริหารความต่อเนื่องทางธุรกิจในด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (information security aspects of business continuity management)
ประกาศ ณ วันที่ 12 กันยายน พ.ศ. 2559
(นายรพี สุจริตกุล)
เลขาธิการ
สํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์
**ภาคผนวก**
**บทนิยาม**
| “ทรัพย์สินสารสนเทศ” | หมายถึง | (1) ทรัพย์สินสารสนเทศประเภทระบบ ซึ่งได้แก่ ระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ (2) ทรัพย์สินสารสนเทศประเภทอุปกรณ์ ซึ่งได้แก่ ตัวเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ เครื่องบันทึกข้อมูล และอุปกรณ์อื่นใด (3) ทรัพย์สินสารสนเทศประเภทข้อมูล ซึ่งได้แก่ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์ |
| “ทรัพย์สินสารสนเทศที่มีความสําคัญ” | หมายถึง | ทรัพย์สินสารสนเทศที่เกี่ยวข้อง หรือจําเป็นต้องใช้ประกอบกับงานที่มีความสําคัญ |
| “ระบบสารสนเทศที่มีความสําคัญ” | หมายถึง | ระบบสารสนเทศที่รองรับการปฏิบัติงานที่สําคัญ เช่น ระบบซื้อขาย ระบบปฏิบัติการ back office และระบบจัดการลงทุน เป็นต้น |
| | | |
| “งานที่สําคัญ” | หมายถึง | งานที่เกี่ยวกับการให้บริการ การทําธุรกรรม หรืองานอื่น ๆ ของผู้ประกอบธุรกิจ ซึ่งหากมีการหยุดชะงัก อาจส่งผลกระทบต่อลูกค้า การดําเนินงาน ธุรกิจ ชื่อเสียง ฐานะ และผลการดําเนินงานของผู้ประกอบธุรกิจ อย่างมีนัยสําคัญ |
| | | |
| “การใช้งานอุปกรณ์เคลื่อนที่ (mobile device)” | หมายถึง | การปฏิบัติงานที่มีการใช้อุปกรณ์เคลื่อนที่เพื่อเข้าถึงระบบ สารสนเทศที่มีความสําคัญโดยผ่านการเชื่อมต่อกับระบบเครือข่ายคอมพิวเตอร์ภายในของผู้ประกอบธุรกิจโดยตรง |
| | | |
| “การปฏิบัติงานจากเครือข่ายภาย นอกบริษัท (teleworking)” | หมายถึง | การปฏิบัติงานที่มีการเข้าถึงระบบสารสนเทศที่มีความสําคัญโดยไม่ผ่านการเชื่อมต่อกับระบบเครือข่ายคอมพิวเตอร์ภายในของผู้ประกอบธุรกิจโดยตรง |
| | | |
| “cloud computing” | หมายถึง | รูปแบบการใช้งานระบบสารสนเทศร่วมกันบนระบบเครือข่ายคอมพิวเตอร์ เพื่อการประมวลผล ตามความต้องการของผู้ใช้งาน ทั้งนี้ ให้อ้างอิงจากนิยาม ที่กําหนดโดย National Institute of Standards and Technology (NIST) |
| | | |
| “ผู้รับดําเนินการ (outsourcee)” | หมายถึง | บุคคลจากภายนอกองค์กรซึ่งผู้ประกอบธุรกิจว่าจ้าง เพื่อให้ปฏิบัติงานอย่างต่อเนื่องและต้องใช้ดุลพินิจ หรือการตัดสินใจในการปฏิบัติงานดังกล่าว แทนผู้ประกอบธุรกิจ |
| | | |
| “ผู้ใช้งาน” | หมายถึง | พนักงานของผู้ประกอบธุรกิจและบุคลากรภายนอก ที่มีการปฏิบัติงานโดยมีการเข้าถึงข้อมูลลับหรือ ระบบงานสําคัญภายในองค์กรโดยไม่รวมถึงลูกค้า |
| | | |
| “สิ่งอํานวยความสะดวกในการประมวลผลข้อมูล (information processing facility)” | หมายถึง | อุปกรณ์ ระบบงาน หรือสภาพแวดล้อม ที่จําเป็นหรือ มีส่วนช่วยให้การประมวลผลข้อมูลเป็นไปอย่างครบถ้วน ถูกต้อง และมีประสิทธิภาพ เช่น อุปกรณ์หรือโปรแกรมประมวลผลข้อมูล ระบบเครือข่ายคอมพิวเตอร์ ขั้นตอนหรือสถานที่ประมวลผลข้อมูล เป็นต้น |
**หมวดที่ 1 : การกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กรที่ดี(governance of enterprise IT)**
| วัตถุประสงค์ โดยที่ระบบเทคโนโลยีสารสนเทศเข้ามามีบทบาทสําคัญในการขับเคลื่อนธุรกิจ และถือเป็นหนึ่งใน ระบบงานหลักที่หากเกิดขัดข้องขึ้น จะส่งผลกระทบต่อการดําเนินงานของผู้ประกอบธุรกิจ ผู้ลงทุน และความเชื่อมั่นต่อตลาดทุนโดยรวมได้ ผู้บริหารระดับสูงจึงต้องมีบทบาทสําคัญในการบริหารจัดการ การนําเทคโนโลยีสารสนเทศมาใช้ในการประกอบธุรกิจ รวมถึงมีหน้าที่ในการส่งทอดเป้าหมายตาม ภารกิจ กลยุทธ์ นโยบาย และแผนงานระดับองค์กรสู่เป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ภายใต้การกํากับดูแลของคณะกรรมการบริษัท เพื่อให้มั่นใจว่าการนําเทคโนโลยีสารสนเทศดังกล่าว มาใช้ในการประกอบธุรกิจ ช่วยให้ผู้ประกอบธุรกิจสามารถบรรลุเป้าหมายได้ตามที่กําหนดไว้ โดยมีการใช้ทรัพยากรอย่างเหมาะสม และมีการบริหารจัดการความเสี่ยงอย่างเหมาะสม สอดคล้องกับ การกํากับดูแลกิจการที่ดี (corporate governance) |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. นโยบายการบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศตามข้อกําหนด 5(1)ควรสอดคล้องกับนโยบายและการบริหารความเสี่ยงองค์กร (enterprise risk) และควรมีเนื้อหาขั้นต่ํา ดังนี้
(1) การระบุความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT-related risk)
(2) การประเมินความเสี่ยง ซึ่งครอบคลุมถึงโอกาสหรือความถี่ที่จะเกิดความเสี่ยง และความมีนัยสําคัญหรือผลกระทบที่จะเกิดขึ้น เพื่อจัดลําดับความสําคัญในการบริหารจัดการความเสี่ยง
(3) การกําหนดเครื่องมือและมาตรการในการบริหารและจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ (risk appetite)
(4) การกําหนดตัวชี้วัดระดับความเสี่ยง (IT risk indicator) สําหรับความเสี่ยงสําคัญที่สอดคล้องกับความเสี่ยงที่ระบุตาม (1) รวมถึงจัดให้มีการติดตามและรายงานผลตัวชี้วัดดังกล่าว เพื่อให้สามารถบริหารและจัดการความเสี่ยงได้อย่างเหมาะสมและทันต่อเหตุการณ์
(5) การกําหนดหน้าที่และความรับผิดชอบของผู้รับผิดชอบ (accountable person) และผู้ทําหน้าที่(responsible person) การบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศตามข้อกําหนด 5(1)
2. นโยบายการจัดสรรและบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศตามข้อกําหนด 5(2) ควรสอดคล้องกับแผนกลยุทธ์องค์กร เพื่อให้บรรลุเป้าหมายตามภารกิจ กลยุทธ์ นโยบายและแผนการดําเนินงานที่กําหนดไว้และควรมีเนื้อหาขั้นต่ํา ดังนี้
(1) การกําหนดหลักเกณฑ์และปัจจัยในการกําหนดลําดับความสําคัญของแผนงานด้านเทคโนโลยีสารสนเทศ (เช่น ความเหมาะสมสอดคล้องกับแผนกลยุทธ์ของบริษัท / ผลกระทบต่อการดําเนินธุรกิจ/ ความเร่งด่วนในการใช้งาน)
(2) การจัดทําและอนุมัติงบประมาณด้านเทคโนโลยีสารสนเทศที่สอดคล้องกับแผนงบประมาณและแผนกลยุทธ์องค์กร
(3) การจัดให้มีทรัพยากรบุคคลอย่างเพียงพอต่องานด้านเทคโนโลยีสารสนเทศ (เช่น การจัดให้มีหรือการพัฒนาทักษะของบุคลากร / การจัดจ้างบุคลากรด้าน IT จากภายนอก)
(4) การจัดการความเสี่ยงสําคัญในกรณีที่ไม่สามารถจัดสรรทรัพยากรได้เพียงพอต่อการดําเนินงานด้านเทคโนโลยีสารสนเทศ (เช่น กรณีบุคลากรสําคัญด้าน IT ลาออก / งบประมาณไม่เพียงพอ / ความต้องการใช้งานเกินกว่าที่กําหนดไว้ใน capacity plan)
(5) การกําหนดหน้าที่และความรับผิดชอบของผู้รับผิดชอบ (accountable person) และผู้ทําหน้าที่(responsible person) การจัดสรรและบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศตามข้อกําหนด 5(2)
3. นโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามข้อกําหนด 5(3) ควรมีเนื้อหาขั้นต่ําตามที่กําหนดในหมวดที่ 2 ข้อ 1 เรื่อง แนวทางปฏิบัติเพิ่มเติมเกี่ยวกับนโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (information security policy)
4. ผู้ประกอบธุรกิจควรกําหนดให้ผู้บริหารระดับสูงเป็นผู้รับผิดชอบในการปฏิบัติให้เป็นไปตามข้อกําหนด 6(2)
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
5. ในการปฏิบัติตามข้อกําหนด 6(4) ผู้ประกอบธุรกิจควรดําเนินการดังต่อไปนี้
(1) จัดให้มีขั้นตอนการจัดทํา การติดตาม และการควบคุมดูแลการจัดทํารายงานเพื่อให้มั่นใจได้ว่าสามารถจัดทํารายงานได้อย่างครบถ้วน ถูกต้อง และทันเวลา
(2) กําหนดให้จัดทํารายงานที่มีเนื้อหาครอบคลุมถึงเรื่องดังต่อไปนี้ ตามรอบระยะเวลาที่เหมาะสม
(ก) กิจกรรมที่เกี่ยวข้องกับการปฏิบัติงานด้านการบริหารความเสี่ยง หรือการจัดสรรและบริหารทรัพยากรด้าน IT เช่น สรุปผลการบริหารจัดการด้านความเสี่ยง / การจัดสรรทรัพยากร IT ในรอบปี เป็นต้น
(ข) ความคืบหน้าของงานโครงการ (ถ้ามี)
(ค) การปฏิบัติตามกฎระเบียบ ข้อบังคับ หรือข้อตกลงที่จัดทํากับบุคคลภายนอกและภายในบริษัทเช่น การจัดส่ง incident report ต่อสํานักงานเมื่อเกิดเหตุการณ์ที่ส่งผลกระทบต่อระบบ IT / การติดตามให้ผู้ให้บริการดําเนินการตามข้อตกลงที่กําหนดไว้ใน service level agreement
(ง) ความมีประสิทธิภาพของการนําเทคโนโลยีสารสนเทศมาใช้ เช่น การติดตามระยะเวลาในการปฏิบัติงานที่ลดลงภายหลังการนําเทคโนโลยีมาปรับปรุงกระบวนการทํางาน และความสอดคล้องกับวัตถุประสงค์ของการนําเทคโนโลยีสารสนเทศมาใช้งาน
(จ) ประเด็นปัญหาและอุปสรรค
6. ผู้ประกอบธุรกิจควรกําหนดให้ผู้บริหารระดับสูงเป็นผู้รับผิดชอบในการปฏิบัติให้เป็นไปตามข้อกําหนด 6(4)
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
7. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 6(5) ผู้ประกอบธุรกิจควรจัดให้มีการติดตาม ประเมิน และปรับปรุงแก้ไขข้อบกพร่องของระบบควบคุมภายใน ดังต่อไปนี้
(1) จัดให้มีการติดตาม ตรวจสอบ และประเมินประสิทธิภาพของขั้นตอนการปฏิบัติงานของหน่วยงานที่ทําหน้าที่บริหารและจัดการในเรื่องดังต่อไปนี้ โดยผู้ตรวจสอบที่เป็นอิสระจากหน่วยงานดังกล่าว
(ก) การปฏิบัติงานให้เป็นไปตามนโยบายในข้อกําหนด 5(1) (2) และ (3)
(ข) การรายงานการปฏิบัติงานในข้อกําหนด 6(4)
(2) จัดให้มีการประเมินตนเองในด้านประสิทธิภาพของขั้นตอนการปฏิบัติงาน (control self-assessment : CSA)
(3) จัดให้ผู้ตรวจสอบที่เป็นอิสระเป็นผู้ประมวลและรายงานผลที่ได้จากการดําเนินการตาม (1) และ (2)พร้อมทั้งรายงานข้อบกพร่องที่ตรวจพบและผลการปรับปรุงแก้ไขให้คณะกรรมการบริษัทหรือคณะกรรมการตรวจสอบและผู้บริหารระดับสูงทราบตามรอบการประเมินและตามรอบการติดตามการปรับปรุงแก้ไขข้อบกพร่อง หรือโดยไม่ชักช้าเมื่อพบข้อบกพร่องที่มีนัยสําคัญ
**หมวดที่ 2 : การรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (IT security)**
**1. แนวทางปฏิบัติเพิ่มเติมเกี่ยวกับนโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (information security policy)**
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. นโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามข้อกําหนดในหมวดที่ 1ข้อ 5(3) ควรมีเนื้อหาขั้นต่ําครอบคลุมในเรื่องดังต่อไปนี้
1. การรักษาความปลอดภัยต่อทรัพย์สินสารสนเทศ
- การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ (access control) [อ้างอิงจากข้อ 5]
- การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (physical and environmental security) [อ้างอิงจากข้อ 7]
1. การจัดการข้อมูลสารสนเทศและการรักษาความลับ
- การจําแนกประเภททรัพย์สินสารสนเทศ (asset classification) เพื่อกําหนดมาตรการรักษาความมั่นคงปลอดภัย [อ้างอิงจากข้อ 4.2]
- การสํารองข้อมูล (backup) [อ้างอิงจากข้อ 8.3]
- การควบคุมการเข้ารหัสข้อมูล (cryptographic control) [อ้างอิงจากข้อ 6]
1. การควบคุมดูแลบุคลากรผู้ปฏิบัติงาน
- การควบคุมการใช้งานของผู้ใช้งาน (end user) เช่น
- มาตรการป้องกันทรัพย์สินสารสนเทศประเภทอุปกรณ์ระหว่างที่ไม่มีผู้ใช้งาน (protection of unattended user equipment) [อ้างอิงจากข้อ 7.2 แนวทางปฏิบัติข้อ 6]
- การใช้งานอุปกรณ์เคลื่อนที่และการปฏิบัติงานจากเครือข่ายภายนอกบริษัท (mobile deviceand teleworking) [อ้างอิงจากข้อ 2.2]
- การควบคุมการติดตั้งซอฟต์แวร์บนระบบงาน (installation of software on operational systems) [อ้างอิงจากข้อ 8.5]
- การควบคุมดูแลผู้รับดําเนินการด้านระบบสารสนเทศ (IT outsourcing) [อ้างอิงจากข้อ 11]
1. การจัดการระบบเครือข่ายคอมพิวเตอร์และการรับส่งข้อมูลสารสนเทศ
- การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์ (communications security) [อ้างอิงจากข้อ 9]
- การควบคุมการรับส่งข้อมูลสารสนเทศ (information transfer) [อ้างอิงจากข้อ 9.2]
1. การป้องกันภัยคุกคามต่อระบบสารสนเทศ
- การป้องกันภัยคุกคามจากโปรแกรมไม่ประสงค์ดี (protection from malware) [อ้างอิงจากข้อ 8.2]
- การบริหารจัดการช่องโหว่ทางเทคนิค (technical vulnerability management) [อ้างอิงจากข้อ 8.6]
1. การจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศ (system acquisition, development and maintenance) [อ้างอิงจากข้อ 10]
**2. การจัดโครงสร้างความมั่นคงปลอดภัยของระบบสารสนเทศ (organization of information security)**
**2.1 การจัดโครงสร้างภายในองค์กร (internal organization)**
| วัตถุประสงค์ เพื่อกําหนดมาตรการควบคุมการปฏิบัติหน้าที่ด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศสําหรับส่วนงานต่าง ๆ ภายในองค์กร ให้เป็นไปตามนโยบายด้านการรักษาความมั่นคงปลอดภัยของ ระบบสารสนเทศ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ผู้ประกอบธุรกิจควรกําหนดให้ผู้บริหารระดับสูงเป็นผู้รับผิดชอบในการปฏิบัติให้เป็นไปตามข้อกําหนด 10(1) และ (2)
1. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 10(2) ผู้ประกอบธุรกิจควรจัดให้มีการแบ่งแยกหน้าที่ในการปฏิบัติงานด้านต่าง ๆ ที่เกี่ยวกับความมั่นคงปลอดภัยของระบบสารสนเทศอย่างชัดเจน เพื่อให้มีการสอบทานการปฏิบัติงานระหว่างกันเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น เช่น การแบ่งแยกบุคลากรที่ปฏิบัติหน้าที่ในส่วนการพัฒนาระบบงาน (developer) ออกจากบุคลากรที่ทําหน้าที่บริหารระบบ (system administrator)ซึ่งปฏิบัติงานอยู่ในส่วนระบบคอมพิวเตอร์ที่ใช้งานจริง (production environment) ทั้งนี้ ในกรณีที่ไม่สามารถแบ่งแยกหน้าที่ความรับผิดชอบเนื่องจากข้อจํากัดทางด้านขนาดของการประกอบธุรกิจ ผู้ประกอบธุรกิจควรจัดให้มีกระบวนการติดตาม และตรวจสอบการปฏิบัติงานของบุคลากรที่เกี่ยวข้องอย่างใกล้ชิดและสม่ําเสมอเพื่อลดความเสี่ยงที่อาจเกิดขึ้น
**2.2 การปฏิบัติงานที่มีการใช้อุปกรณ์เคลื่อนที่ (mobile device) เพื่อเข้าถึงระบบสารสนเทศภายในองค์กรและการปฏิบัติงานจากเครือข่ายภายนอกบริษัท (teleworking)**
| วัตถุประสงค์ เพื่อกําหนดมาตรการรักษาความมั่นคงปลอดภัยสําหรับการปฏิบัติงานจากเครือข่ายภายนอกบริษัท รวมทั้งการใช้งานอุปกรณ์เคลื่อนที่เพื่อเข้าถึงระบบงานภายในองค์กร |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ในการปฏิบัติงานที่มีการใช้อุปกรณ์เคลื่อนที่เพื่อเข้าถึงระบบงานภายในองค์กร (ไม่รวมถึงระบบ mail service) ผู้ประกอบธุรกิจควรจัดให้มีมาตรการป้องกันข้อมูลสารสนเทศที่สําคัญตามข้อกําหนด 9(1)โดยพิจารณาถึงแนวทางดังต่อไปนี้
2. กําหนดให้มีการลงทะเบียนอุปกรณ์เคลื่อนที่ เช่น ยี่ห้อ รุ่น ระบบปฏิบัติการ รหัสประจําเครื่อง (serial number) และหมายเลขอ้างอิงอุปกรณ์เครือข่าย (MAC address) เป็นต้น ก่อนการใช้งานรวมถึงจัดให้มีการทบทวนทะเบียนดังกล่าวอย่างน้อยปีละ 1 ครั้งและเมื่อมีการเปลี่ยนอุปกรณ์พร้อมทั้งยกเลิกสิทธิการใช้งานของอุปกรณ์เดิม เพื่อให้มั่นใจได้ว่าการใช้งานอุปกรณ์ดังกล่าวมีความสอดคล้องเป็นไปตามนโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศทั้งนี้ ผู้ประกอบธุรกิจอาจใช้ระบบเทคโนโลยีการลงทะเบียนอื่นทดแทนได้ หากพิจารณาแล้วเห็นว่าเหมาะสม
3. มีมาตรการป้องกันข้อมูลที่เป็นความลับหรือมีความสําคัญ (sensitive data) กรณีที่อุปกรณ์เคลื่อนที่สูญหาย เช่น การกําหนดให้ใส่รหัสผ่านก่อนใช้งานอุปกรณ์ (lock screen) หรือการลบข้อมูลจากระยะไกล (remote wipe-out) เป็นต้น
4. กําหนดประเภทบริการการใช้งาน (application service) ที่อนุญาตให้ใช้งานผ่านอุปกรณ์เคลื่อนที่และกําหนดมาตรการควบคุมการเข้าถึงบริการการใช้งานดังกล่าวโดยคํานึงถึงความปลอดภัยของการเชื่อมต่อกับเครือข่าย เช่น จํากัดให้เข้าถึงบริการการใช้งานบางประเภทหากเป็นการเชื่อมต่อกับเครือข่ายภายนอก เป็นต้น
5. จัดให้มีการเข้ารหัสข้อมูลสารสนเทศที่สําคัญทั้งที่จัดเก็บในอุปกรณ์เคลื่อนที่และที่รับส่งผ่านระบบเครือข่ายคอมพิวเตอร์
6. จัดให้มีการสื่อสารให้ผู้ใช้งานพร้อมทั้งลงนามรับทราบ เพื่อสร้างความตระหนักและทราบถึงความเสี่ยงจากการใช้งาน และแนวทางการควบคุมความเสี่ยงดังกล่าว
7. ควบคุมให้มีการติดตั้งเฉพาะซอฟต์แวร์ที่ถูกต้องตามลิขสิทธิ์ และโปรแกรมเพื่อปิดช่องโหว่ (patches) ที่เหมาะสม และกําหนดมาตรการป้องกันโปรแกรมไม่ประสงค์ดี (malware)
ทั้งนี้ เพื่อป้องกันการบุกรุกหรือก่อให้เกิดความเสียหายต่อข้อมูลที่เป็นความลับและมีความสําคัญที่จัดเก็บในอุปกรณ์เคลื่อนที่
1. จัดให้มีการดําเนินการเพื่อลดผลกระทบเมื่อเกิดเหตุการณ์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลสารสนเทศ เช่น ตัดการเชื่อมต่อโดยทันทีที่ทราบเหตุ เป็นต้น
ทั้งนี้ หากอุปกรณ์เคลื่อนที่เป็นทรัพย์สินของพนักงาน ผู้ประกอบธุรกิจควรพิจารณาแนวทางในข้อ (1) - (5) เป็นขั้นต่ํา พร้อมทั้งจัดให้มีมาตรการควบคุมที่เทียบเคียงหรือทดแทนแนวทางในข้อ (6) - (7) ได้ เช่น กําหนดให้มีการตรวจสอบอุปกรณ์เคลื่อนที่อย่างสม่ําเสมอ กําหนดบทลงโทษหรือตัดสิทธิการใช้งาน application service ในกรณีที่พนักงานละเมิดข้อกําหนด เป็นต้น
1. ในกรณีที่มีการปฏิบัติงานจากเครือข่ายภายนอกบริษัท (teleworking) ผู้ประกอบธุรกิจควรกําหนดมาตรการรักษาความมั่นคงปลอดภัยที่รัดกุมเพียงพอสําหรับข้อมูลสารสนเทศที่ถูกเข้าถึง ประมวลผลและจัดเก็บในพื้นที่ปฏิบัติงาน ตามข้อกําหนด 9(1) โดยพิจารณาถึง
2. การกําหนดมาตรการรักษาความมั่นคงปลอดภัยด้านกายภาพที่เหมาะสม รัดกุมเพียงพอ กับขอบเขตการปฏิบัติงาน สําหรับพื้นที่ปฏิบัติงานนอกองค์กร
3. การควบคุมสิทธิการใช้งานและการเข้าถึงข้อมูลสารสนเทศของผู้ใช้งานอย่างเหมาะสม
4. การรักษาความมั่นคงปลอดภัยของระบบงานภายในองค์กรที่สําคัญและระบบเครือข่ายคอมพิวเตอร์กรณีมีการเชื่อมต่อหรือรับส่งข้อมูลที่เป็นความลับหรือมีความสําคัญจากระยะไกล (remote access) เช่น การติดตั้ง firewall การ update โปรแกรมป้องกัน malware การกําหนดสิทธิการเข้าถึงและการเข้ารหัสข้อมูล (data encryption) หรือเข้ารหัสระบบเครือข่าย (network encryption) เป็นต้น
5. การป้องกันการรั่วไหลของข้อมูลสารสนเทศในกรณีใช้เทคโนโลยี virtual desktop
6. การป้องกันการเข้าถึงข้อมูลสารสนเทศจากบุคคลที่ไม่มีสิทธิในการใช้งาน เช่น ญาติพี่น้องและเพื่อน เป็นต้น
7. การตรวจสอบสิทธิการเข้าถึงของพนักงานที่ได้รับอนุญาตให้ปฏิบัติงานจากภายนอกบริษัท
8. การป้องกันโปรแกรมไม่ประสงค์ดี
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
3. ในกรณีที่ใช้บริการ cloud computing กับระบบสารสนเทศที่มีความสําคัญ ผู้ประกอบธุรกิจควรจัดให้มีข้อกําหนดเกี่ยวกับการใช้งาน โดยขั้นต่ําควรมีรายละเอียด ดังนี้
3.1 กําหนดนโยบายการใช้งาน cloud computing ตามข้อกําหนด 8(1) โดยอย่างน้อยมีเนื้อหา ดังนี้
1. ประเมินความเสี่ยงเกี่ยวกับการใช้บริการ
2. กําหนดประเภทงานที่จะใช้บริการ
3. กําหนดรูปแบบของการใช้บริการ เช่น software as a service (saas), platform as a service (paas) และ infrastructure as a service (iaas)
4. กําหนดวิธีการคัดเลือกและประเมินผู้ให้บริการ (due diligence) โดยควรให้ความสําคัญในเรื่องการรักษาความปลอดภัยของข้อมูลสารสนเทศที่สําคัญ (confidentiality) ความถูกต้องเชื่อถือได้ของข้อมูลและระบบสารสนเทศ (integrity) และความพร้อมใช้งานของระบบสารสนเทศที่ใช้บริการ (availability)
5. กําหนดการทบทวนคุณสมบัติของผู้ให้บริการอย่างสม่ําเสมอ เช่น ฐานะทางการเงิน ความเพียงพอของการให้บริการ (capacity planning) เพื่อให้มั่นใจว่าผู้ให้บริการยังคงมีความพร้อมในการให้บริการที่เพียงพอต่อความต้องการของผู้ประกอบธุรกิจอย่างต่อเนื่อง
6. จัดให้มีการเผยแพร่นโยบายเกี่ยวกับการใช้บริการ และสื่อสารให้พนักงานที่เกี่ยวข้องพร้อมทั้งลงนามรับทราบ เพื่อให้ตระหนักถึงความมั่นคงปลอดภัยจากการใช้บริการ cloud computing
7. กําหนดบทบาทหน้าที่ความรับผิดชอบของผู้ให้บริการอย่างชัดเจน เช่น การสํารองข้อมูล
การรับเรื่องแก้ไขปัญหา ขั้นตอนและกระบวนการแก้ไขปัญหา รายชื่อและช่องทางสําหรับติดต่อ เป็นต้น
1. กําหนดความปลอดภัยของข้อมูลแต่ละประเภทที่จะใช้ใน cloud โดยแบ่งชั้นความลับของข้อมูล และกําหนดวิธีปฏิบัติแต่ละระดับชั้นความลับของข้อมูล
2. กําหนดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตามการใช้งานแต่ละประเภท เพื่อป้องกันภัยคุกคามและการเข้าถึงข้อมูลสารสนเทศโดยไม่ได้รับอนุญาต
3. กําหนดใช้วิธีพิสูจน์ตัวตนแบบ multi-factor authentication[1](#fn1) สําหรับการเข้าถึงหน้าผู้บริหารระบบ (administrator page) สําหรับระบบสารสนเทศที่มีความสําคัญ
4. กําหนดให้มีการตรวจสอบบันทึกหลักฐานต่าง ๆ และติดตามปัญหาที่อาจส่งผลต่อการใช้บริการ
3.2 กําหนดข้อตกลงระหว่างผู้ให้บริการและผู้ใช้บริการตามข้อกําหนด 9(2)(ก) โดยมีลักษณะดังนี้
1. ผู้ใช้บริการถือเป็นเจ้าของข้อมูลสารสนเทศ
2. กําหนดประเภทบริการที่จะใช้ cloud computing
3. กําหนดมาตรฐานความปลอดภัยด้านเครือข่าย เช่น การเข้ารหัสข้อมูลที่รับส่งผ่านระบบเครือข่ายคอมพิวเตอร์ การป้องกันการโจมตีในลักษณะ DDoS (distributed denial of service) การป้องกันการบุกรุกจากโปรแกรมไม่ประสงค์ดี การป้องกันภัยคุกคามในรูปแบบใหม่ (advanced persistent threat) การแบ่งแยกเครือข่าย การเข้ารหัสระหว่างแอพพลิเคชั่น (application) การป้องกันการบุกรุกแบบลําดับชั้น (defense-in-depth) และการสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศ (hardening) เป็นต้น
4. ระบุข้อตกลงในการควบคุมการเข้าถึงข้อมูล เช่น วิธีการเข้าใช้งานระบบ วิธีการกําหนดสิทธิการใช้งาน การติดตามการแก้ปัญหา การรายงานข้อผิดพลาด ประสิทธิภาพ และสภาพโดยรวมของระบบ อย่างชัดเจน
5. กําหนดบทบาทหน้าที่ความรับผิดชอบของผู้ให้บริการในด้านการสํารองข้อมูล กระบวนการ แก้ไขปัญหา ระดับการให้บริการ (service level agreement) ระยะเวลาในการกลับคืนสู่สภาพ การดําเนินงานปกติของระบบสารสนเทศ (recovery time objectives : RTO) และกําหนดเป้าหมายในการกู้คืนข้อมูล เช่น กําหนดประเภทของข้อมูล และชุดข้อมูลล่าสุดที่จะกู้คืนได้ (recovery point objective : RPO) อย่างชัดเจน
6. กําหนดเงื่อนไขความรับผิดชอบในกรณีที่ผู้ให้บริการไม่สามารถให้บริการตามที่กําหนดในข้อตกลง
7. กําหนดให้เนื้อหาหรือเอกสารที่เกี่ยวข้องกับข้อตกลงมีการระบุรายละเอียดที่เกี่ยวข้องกับนโยบายการป้องกันการรั่วไหลของข้อมูลที่อาจเกิดขึ้นจากผู้ให้บริการ
8. ผู้ให้บริการไม่ควรมีสิทธิเข้าถึงและเปิดเผยข้อมูลของผู้ใช้บริการ เว้นแต่จะแจ้งและได้รับความยินยอมจากผู้ใช้บริการ หรือแจ้งให้ทราบหากเป็นไปตามกฎหมายของประเทศที่ผู้ให้บริการไปตั้งศูนย์ข้อมูล (cloud server hosting country) หรือเป็นไปตามกฎหมายเกี่ยวกับความมั่นคงของประเทศผู้ให้บริการ (origin country)
9. ผู้ให้บริการควรปรับปรุงการปฏิบัติงานให้เป็นไปตามมาตรฐานการรับรองความมั่นคงปลอดภัยด้านสารสนเทศในระดับสากล[2](#fn2) ฉบับปัจจุบันโดยไม่ชักช้า หากมาตรฐานดังกล่าวได้ถูกปรับปรุงให้เป็นปัจจุบัน (update)
10. ผู้ประกอบธุรกิจควรมีมาตรการเพื่อให้มั่นใจได้ว่าผู้ให้บริการจัดให้มีการตรวจสอบขั้นตอนการปฏิบัติงานอย่างน้อยปีละ 1 ครั้ง จากผู้ตรวจสอบอิสระ
11. มีข้อกําหนดเมื่อสิ้นสุดการใช้บริการ (exit plan) เช่น กําหนดระยะเวลารักษาข้อมูลและวิธีการทําลายข้อมูลเพื่อให้มั่นใจว่าไม่สามารถกู้คืนข้อมูลกลับมาได้
12. มีข้อกําหนดในการใช้บริการ cloud computing ต่อจากผู้ให้บริการรายอื่น (subcontract) อย่างชัดเจน โดยอย่างน้อยควรมีเงื่อนไขกําหนดให้บริการดังกล่าวเป็นส่วนหนึ่งของผู้ให้บริการ และผู้ให้บริการควรรับผิดชอบต่อความเสียหายที่เกิดขึ้นจากการกระทําหรือการดําเนินการใด ๆ ของผู้ให้บริการรายอื่น
3.3 ในการติดตาม ประเมิน และทบทวนการให้บริการของผู้ให้บริการให้เป็นไปตามข้อกําหนด 9(2)(ค) ผู้ประกอบธุรกิจควรดําเนินการเพิ่มเติม ดังนี้
1. ติดตามตรวจสอบประสิทธิภาพของการให้บริการ รวมทั้งมาตรการด้านความมั่นคงปลอดภัยให้สอดคล้องกับข้อกําหนดตามสัญญาต่าง ๆ หรือข้อตกลงในการให้บริการ
2. ประเมินความเพียงพอของระบบงานของผู้ให้บริการ (capacity planning) อย่างสม่ําเสมอ
3. ทบทวนเงื่อนไขการบริการในกรณีที่มีการเปลี่ยนแปลง เพื่อให้มั่นใจได้ว่าการให้บริการยังคงสอดคล้องกับการใช้งานและนโยบายด้านความมั่นคงปลอดภัยของระบบสารสนเทศของผู้ประกอบธุรกิจ
4. ทบทวนคุณสมบัติของผู้ให้บริการอย่างต่อเนื่อง เช่น การตรวจสอบความมั่นคงในฐานะทางการเงิน กระบวนการปฏิบัติงาน และประสิทธิภาพการปฏิบัติงาน เป็นต้น
**3. การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร (human resource security)**
| วัตถุประสงค์ เพื่อให้พนักงานและบุคคลภายนอกที่ปฏิบัติงานโดยมีการเข้าถึงข้อมูลหรือระบบงานภายในองค์กร มีความตระหนักรู้ และปฏิบัติงานโดยคํานึงถึงการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ตัวอย่างการใช้งานระบบสารสนเทศในลักษณะที่อาจก่อให้เกิดความเสียหายกับผู้ประกอบธุรกิจ ตลาดทุนโดยรวม หรือความมั่นคงของประเทศ ตามข้อกําหนด 13(2) เช่น การหมิ่นประมาท การข่มขู่ การปลอมแปลงเป็นบุคคลอื่น การส่งจดหมายอิเล็กทรอนิกส์แบบลูกโซ่ และการเปิดเผยข้อมูลที่เป็นความลับของผู้ประกอบธุรกิจ เป็นต้น
**4. การบริหารจัดการทรัพย์สินสารสนเทศ (asset management)**
**4.1 หน้าที่ความรับผิดชอบต่อทรัพย์สินสารสนเทศ (responsibility for assets)**
| วัตถุประสงค์ เพื่อให้ทรัพย์สินสารสนเทศที่มีความสําคัญได้รับการป้องกันอย่างเหมาะสม ผู้ประกอบธุรกิจควรจัดให้มี การระบุและกําหนดหน้าที่ความรับผิดชอบในการรักษาความมั่นคงปลอดภัยของทรัพย์สินสารสนเทศ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
- ไม่มีแนวปฏิบัติเพิ่มเติม -
**4.2 การจําแนกประเภททรัพย์สินสารสนเทศ (asset classification) และการจัดการสื่อบันทึกข้อมูล (media handling)**
| วัตถุประสงค์ เพื่อให้ทรัพย์สินสารสนเทศที่มีความสําคัญได้รับการปกป้องในระดับที่เหมาะสม และเพื่อป้องกัน การเปิดเผย เปลี่ยนแปลงแก้ไข หรือสร้างความเสียหายในกรณีที่เป็นข้อมูลสารสนเทศสําคัญซึ่งถูกจัดเก็บในสื่อบันทึกข้อมูล |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ผู้ประกอบธุรกิจควรจัดให้มีมาตรการดูแลรักษาความมั่นคงปลอดภัยที่สอดคล้องเหมาะสมกับทรัพย์สินสารสนเทศแต่ละประเภทที่ได้จําแนกไว้ เช่น การควบคุมการเข้าถึง การจัดให้มีการเข้ารหัสข้อมูลที่เป็นความลับหรือต้องการความถูกต้องในระดับสูง เป็นต้น
1. ในการบริหารจัดการสื่อบันทึกข้อมูลเพื่อให้เป็นไปตามข้อกําหนด 17 ผู้ประกอบธุรกิจควรดําเนินการเพิ่มเติมดังต่อไปนี้
2. จัดให้มีกระบวนการทําลายข้อมูลเพื่อป้องกันการรั่วไหลของข้อมูลและไม่ให้สามารถกู้คืนข้อมูลได้ในกรณีที่ไม่มีความจําเป็นต้องใช้ข้อมูล
3. จัดให้มีกระบวนการทําลายสื่อบันทึกข้อมูลเพื่อป้องกันการรั่วไหลของข้อมูลที่เป็นความลับหรือมีความสําคัญ
4. คํานึงถึงความเสี่ยงที่สื่อบันทึกข้อมูลอาจเสื่อมสภาพ รวมทั้งวิธีการนําข้อมูลกลับมาใช้งานใหม่ในกรณีที่จัดเก็บข้อมูลเป็นระยะเวลานาน
5. จัดเก็บสื่อบันทึกข้อมูลในพื้นที่ที่มีความมั่นคงปลอดภัย และเป็นไปตามคําแนะนําของผู้ผลิต (ถ้ามี)
6. จัดให้มีกระบวนการดูแลรักษาความปลอดภัยกรณีที่มีการเคลื่อนย้ายสื่อบันทึกข้อมูลออกจากพื้นที่ทําการ
**5. การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ (access control)**
**5.1 การควบคุมการเข้าถึงตามข้อกําหนดทางธุรกิจ (business requirements of access control)**
| วัตถุประสงค์ เพื่อควบคุมการเข้าถึงข้อมูลและสิ่งอํานวยความสะดวกในการประมวลผลข้อมูล (information processing facilities) |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ผู้ประกอบธุรกิจควรจัดทํานโยบายตามข้อกําหนด 8(4) เป็นลายลักษณ์อักษรโดยมีเนื้อหาขั้นต่ําครอบคลุมเรื่องดังต่อไปนี้ พร้อมทั้งจัดให้มีการทบทวนนโยบายดังกล่าวอย่างสม่ําเสมอ
2. การกําหนดสิทธิการเข้าถึงข้อมูลและระบบสารสนเทศให้เหมาะสมกับการใช้งานและหน้าที่ ความรับผิดชอบของผู้ใช้งาน รวมทั้งมีการทบทวนสิทธิการเข้าถึงอย่างสม่ําเสมอ และยกเลิกสิทธิ ของบุคคลที่ไม่มีความจําเป็นในการเข้าถึงโดยทันที
3. การแบ่งแยกบทบาทหน้าที่ของบุคคลที่เกี่ยวข้อง เช่น บุคคลผู้ร้องขอ (access request) บุคคลผู้มีอํานาจอนุมัติ (access authorization) และบุคคลผู้บริหารสิทธิการเข้าถึง (access administration) เป็นต้น
4. รายละเอียดในส่วนที่เกี่ยวกับการควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ขั้นต่ําควรครอบคลุมถึงการระบุประเภทหรือบริการทางเครือข่าย (network services) และบุคคลที่ได้รับอนุญาตให้เข้าถึง กระบวนการควบคุมและป้องกันการเข้าถึง วิธีการเข้าถึงแบบปลอดภัย เทคนิคการระบุตัวตนและการติดตามการใช้งานของบุคคลที่ได้รับอนุญาตให้เข้าถึง
5. การมีระบบที่ระบุผู้ใช้งานในระบบเครือข่ายคอมพิวเตอร์ได้อย่างชัดเจน โดยเฉพาะกรณีที่ผู้ประกอบธุรกิจใช้หมายเลขประจําเครื่องแบบพลวัต (dynamic IP address) เพื่อให้ผู้ประกอบธุรกิจมีข้อมูลที่สามารถระบุผู้ใช้งานหมายเลข IP address ในช่วงเวลาที่ใช้งานได้
**5.2 การบริหารจัดการบัญชีผู้ใช้งาน (user access management)**
| วัตถุประสงค์ เพื่อให้มีการควบคุมสิทธิการใช้งานระบบสารสนเทศอย่างเหมาะสมและป้องกันไม่ให้ผู้ที่ไม่มีสิทธิใช้งานสามารถเข้าถึงระบบสารสนเทศได้ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
- ไม่มีแนวปฏิบัติเพิ่มเติม –
**5.3 หน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities)**
| วัตถุประสงค์ เพื่อป้องกันไม่ให้ผู้ไม่มีสิทธิ สามารถเข้าถึงระบบสารสนเทศได้ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 20(2) ผู้ประกอบธุรกิจควรระบุในข้อกําหนดให้ผู้ใช้งานเป็นผู้ดูแลรับผิดชอบบัญชีผู้ใช้งาน (user ID) และรหัสผ่าน (password) รวมทั้งข้อมูลส่วนบุคคลที่อาจนํามาใช้เพื่อขอเปลี่ยนแปลงข้อมูลบัญชีการใช้งานระบบได้ (accountable for safeguard)
**5.4 การควบคุมการเข้าถึงระบบสารสนเทศและโปรแกรมประยุกต์ (system and application access control)**
| วัตถุประสงค์ เพื่อป้องกันการเข้าถึงระบบสารสนเทศและแอพพลิเคชั่นโดยไม่ได้รับอนุญาต |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ตัวอย่างของการควบคุมการเข้าใช้งานระบบสารสนเทศและโปรแกรมประยุกต์ตามข้อกําหนด 20(3)(ข) เช่น มีการป้องกันการเข้าใช้งานโดยวิธีเดาสุ่ม (brute force) จัดเก็บและตรวจสอบ log-in attempt logอย่างสม่ําเสมอ เป็นต้น
1. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 20(3)(ค) ผู้ประกอบธุรกิจควรพิจารณากําหนดกระบวนการที่จําเป็น ดังนี้
2. กําหนดให้ผู้ใช้งานแต่ละรายรับผิดชอบ (accountable) บัญชีผู้ใช้งาน (user ID) และรหัสผ่าน (password) ของตนเอง
3. กําหนดให้ผู้ใช้งานสามารถตั้งค่าหรือเปลี่ยนแปลงรหัสผ่านได้ด้วยตนเอง และระบบควรมีขั้นตอนให้ยืนยันความถูกต้อง
4. กําหนดให้ผู้ใช้งานตั้งรหัสผ่านที่ยากต่อการคาดเดา เช่น มีความยาวขั้นต่ํา 6-8 ตัวอักษร โดยอาจมีอักขระพิเศษ (เช่น “#”) ประกอบด้วย
5. กําหนดให้ผู้ใช้งานเปลี่ยนแปลงรหัสผ่านทันทีที่ได้รับรหัสผ่านครั้งแรก และควรเปลี่ยนรหัสผ่านอย่างน้อยทุก 6 เดือน
6. ในการเปลี่ยนรหัสผ่านแต่ละครั้ง ไม่ควรกําหนดรหัสผ่านใหม่ให้ซ้ํากับรหัสที่ใช้งานครั้งล่าสุด
7. ระหว่างที่ผู้ใช้งานใส่รหัสผ่าน ระบบไม่ควรแสดงให้เห็นค่ารหัสผ่านบนหน้าจอ
8. มีระบบการเข้ารหัส (encryption) ข้อมูลรหัสผ่าน เพื่อป้องกันการล่วงรู้หรือแก้ไขเปลี่ยนแปลง รวมทั้งไม่จัดเก็บข้อมูลรหัสผ่านใน folder เดียวกันกับ folder ที่จัดเก็บข้อมูลของแอพพลิเคชั่น
9. ควรกําหนดจํานวนครั้งที่ยอมให้ผู้ใช้งานใส่รหัสผ่านผิด ซึ่งในทางปฏิบัติโดยทั่วไปไม่ควรเกิน 10 ครั้ง
10. ควรมีวิธีการจัดส่งรหัสผ่านให้แก่ผู้ใช้งานอย่างรัดกุมและปลอดภัย เช่น การใส่ซองปิดผนึก เป็นต้น
**6. การควบคุมการเข้ารหัสข้อมูล (cryptographic control)**
| วัตถุประสงค์ เพื่อให้การใช้งานระบบการเข้ารหัสข้อมูลมีความเหมาะสม มีประสิทธิภาพ และสามารถป้องกันการเข้าถึงหรือเปลี่ยนแปลงแก้ไขข้อมูลที่เป็นความลับหรือมีความสําคัญ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. นโยบายการใช้งานระบบการเข้ารหัสข้อมูลและการบริหารกุญแจเข้ารหัสข้อมูลตามข้อกําหนด 8(2)ควรมีเนื้อหาที่คํานึงถึงชนิด และขั้นตอนวิธีการเข้ารหัสข้อมูล (algorithm) ที่สอดคล้องเหมาะสมกับระดับความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลที่เป็นความลับหรือมีความสําคัญ รวมทั้งกําหนดผู้รับผิดชอบในการดําเนินนโยบายและบริหารจัดการกุญแจเพื่อการเข้ารหัสข้อมูล (key management)
1. ผู้ประกอบธุรกิจควรจัดให้มีนโยบายการบริหารกุญแจเพื่อการเข้ารหัสข้อมูลตามแนวทางปฏิบัติข้อ 1 ตลอดช่วงเวลาการใช้งาน (key management whole life cycle) โดยกําหนดแนวปฏิบัติเพื่อการคัดเลือกวิธีการเข้ารหัส การกําหนดความยาวของรหัส การใช้งานและการยกเลิกการใช้งานกุญแจเพื่อการเข้ารหัส กระบวนการบริหารจัดการกุญแจเพื่อการเข้ารหัส รวมทั้งติดตามให้มีการปฏิบัติให้เป็นไปตามนโยบายและแนวทางปฏิบัติดังกล่าวอย่างสม่ําเสมอ
**7. การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (physical and environmental security)**
**7.1 พื้นที่หวงห้าม (secure areas)**
| วัตถุประสงค์ เพื่อป้องกันมิให้บุคคลที่ไม่มีอํานาจหน้าที่เกี่ยวข้องเข้าถึงพื้นที่หวงห้าม เช่น ศูนย์คอมพิวเตอร์ (data center) ศูนย์สํารอง (backup site) และพื้นที่ที่ตั้งอุปกรณ์ระบบเครือข่ายคอมพิวเตอร์ ได้แก่ floor swith หรือ router ซึ่งอาจก่อให้เกิดความเสียหายต่ออุปกรณ์สารสนเทศหรือมีผลกระทบต่อข้อมูลที่เป็นความลับหรือมีความสําคัญ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ผู้ประกอบธุรกิจควรออกแบบพื้นที่หวงห้ามโดยคํานึงถึงความมั่นคงปลอดภัยจากภัยธรรมชาติและภัยคุกคามจากมนุษย์ และให้มีความมิดชิด รวมทั้งป้องกันมิให้มีการเปิดเผยข้อมูลและรายละเอียดของพื้นที่หวงห้ามต่อสาธารณะ
1. ผู้ประกอบธุรกิจควรกําหนดสิทธิการเข้าออกพื้นที่หวงห้ามให้เฉพาะบุคคลที่มีหน้าที่เกี่ยวข้องรวมทั้งควรจัดให้มีระบบการควบคุมการเข้าออกอย่างรัดกุม และทบทวนสิทธิดังกล่าวอย่างสม่ําเสมอ
1. ผู้ประกอบธุรกิจควรจัดให้มีการรักษาความมั่นคงปลอดภัยให้กับศูนย์คอมพิวเตอร์ เช่น มีระบบ กล้องวงจรปิด อุปกรณ์เตือนไฟไหม้ ถังดับเพลิงหรือระบบดับเพลิงแบบอัตโนมัติ ระบบไฟฟ้าสํารอง (uninterrupted power supply) และระบบควบคุมอุณหภูมิและความชื้นที่เหมาะสม เป็นต้น พร้อมทั้ง มีการบํารุงรักษาอย่างสม่ําเสมอ
1. ผู้ประกอบธุรกิจควรมีการติดตามและควบคุมบุคคลภายนอกที่เข้าปฏิบัติงานภายในพื้นที่หวงห้ามอย่างใกล้ชิด
2. ผู้ประกอบธุรกิจควรแยกพื้นที่จุดรับส่งของ (delivery and loading area) ซึ่งเป็นพื้นที่ส่วนที่ต้องมีการเข้าถึงโดยพนักงานฝ่ายอื่น เช่น ส่วนที่ใช้เก็บรายงานที่ฝ่ายคอมพิวเตอร์ได้จัดพิมพ์ให้หน่วยงานต่าง ๆ เป็นต้นออกจากศูนย์คอมพิวเตอร์
1. ผู้ประกอบธุรกิจควรจัดเก็บอุปกรณ์คอมพิวเตอร์ที่สําคัญ เช่น เครื่องแม่ข่าย อุปกรณ์เครือข่าย เป็นต้นไว้ในพื้นที่หวงห้ามอย่างมั่นคงปลอดภัย
**7.2 ทรัพย์สินสารสนเทศประเภทอุปกรณ์ (equipment)**
| วัตถุประสงค์ เพื่อป้องกันทรัพย์สินสารสนเทศประเภทอุปกรณ์มิให้สูญหาย ถูกโจรกรรม เกิดความเสียหาย เข้าถึงหรือถูกใช้งานโดยบุคคลที่ไม่เกี่ยวข้อง รวมทั้งเพื่อให้ทรัพย์สินดังกล่าวสามารถทํางานได้อย่างต่อเนื่อง |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ผู้ประกอบธุรกิจควรจัดให้มีการป้องกันทรัพย์สินสารสนเทศประเภทอุปกรณ์ที่อาจหยุดชะงักจากการทํางานผิดพลาดของระบบโครงสร้างพื้นฐาน เช่น ระบบไฟฟ้า ระบบโทรคมนาคม ระบบระบายอากาศและระบบปรับอากาศ เป็นต้น
1. ผู้ประกอบธุรกิจควรจัดให้มีมาตรการป้องกันสายเคเบิลที่ใช้เพื่อการสื่อสาร สายไฟ และอุปกรณ์ที่เกี่ยวข้อง เช่น floor switch และท่อเดินสายเคเบิลและสายไฟ อย่างรัดกุมและบํารุงรักษาอย่างสม่ําเสมอเพื่อมิให้มีความเสียหาย
2. ผู้ประกอบธุรกิจควรจัดให้มีการดูแลและบํารุงรักษาทรัพย์สินสารสนเทศประเภทอุปกรณ์อย่างถูกวิธี เพื่อให้คงไว้ซึ่งความถูกต้องครบถ้วนและอยู่ในสภาพพร้อมใช้งานอยู่เสมอ
1. ผู้ประกอบธุรกิจควรควบคุมมิให้มีการนําทรัพย์สินสารสนเทศประเภทอุปกรณ์ออกนอกพื้นที่โดยมิได้รับอนุญาต โดยในกรณีที่ได้รับอนุญาต ผู้ประกอบธุรกิจควรจัดให้มีการทําทะเบียนคุมและมีกระบวนการรักษา ความมั่นคงปลอดภัย โดยให้คํานึงถึงระดับความเสี่ยงที่แตกต่างกันจากการนําไปใช้งานในสถานที่ต่าง ๆ
2. ก่อนการยกเลิกการใช้งานหรือจําหน่ายทรัพย์สินสารสนเทศประเภทอุปกรณ์ด้านเครือข่าย เช่น switch, firewall และ router เป็นต้น ผู้ประกอบธุรกิจควรตรวจสอบทรัพย์สินนั้นว่าได้มีการลบ ย้าย ทําลายข้อมูลเกี่ยวกับการปรับแต่ง (configuration) ที่สําคัญ หรือปรับค่าดังกล่าวกลับไปสู่ค่าตั้งต้น (restore from factory) ด้วยวิธีการที่ทําให้มั่นใจได้ว่าไม่สามารถกู้คืนได้อีก
1. ผู้ประกอบธุรกิจควรจัดให้มีการควบคุมป้องกันทรัพย์สินสารสนเทศประเภทอุปกรณ์ระหว่างที่ไม่มีผู้ใช้งาน (unattended user equipment) ให้มีความปลอดภัย รวมทั้งควรกําหนดการควบคุมเอกสารข้อมูลหรือสื่อบันทึกข้อมูลต่าง ๆ เช่น thumb drive และ external hard disk ที่มีข้อมูลสารสนเทศที่จัดเก็บหรือบันทึกอยู่ ไม่ให้วางทิ้งไว้บนโต๊ะทํางานหรือสถานที่ไม่ปลอดภัยในขณะที่ไม่ได้ใช้งาน (clear desk) ตลอดจนการควบคุมหน้าจอคอมพิวเตอร์ไม่ให้มีข้อมูลสําคัญปรากฏในขณะที่ไม่ได้ใช้งาน (clear screen)เช่น การตัดออกจากระบบ (session time out) หรือการล็อคหน้าจอ (lock screen) อัตโนมัติ เป็นต้น
**8. การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ (operations security)**
**8.1 หน้าที่ความรับผิดชอบและขั้นตอนการปฏิบัติงาน (operational procedures and responsibilities)**
| วัตถุประสงค์ เพื่อให้มั่นใจว่าการปฏิบัติงานด้านระบบสารสนเทศเป็นไปอย่างถูกต้องและมั่นคงปลอดภัย |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ผู้ประกอบธุรกิจควรกําหนดขั้นตอนการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศเป็นลายลักษณ์อักษรเพื่อให้พนักงานปฏิบัติการคอมพิวเตอร์ (computer operator) สามารถปฏิบัติงานได้อย่างถูกต้องและเป็นไปตามนโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ เช่น ขั้นตอนในการเปิด - ปิดระบบการประมวลผล การตรวจสอบประสิทธิภาพการทํางานของระบบ และตารางเวลาในการปฏิบัติงาน เป็นต้น และควรทบทวนขั้นตอนการปฏิบัติงานดังกล่าวให้เป็นปัจจุบันอยู่เสมอ รวมทั้งจัดให้อยู่ในสภาพที่พร้อมใช้งานและเข้าถึงได้อยู่เสมอ
1. ผู้ประกอบธุรกิจควรจัดให้มีการควบคุมการปฏิบัติงานอย่างเคร่งครัด โดยเฉพาะในกรณีที่มี การเปลี่ยนแปลงโครงสร้างระบบงาน ขั้นตอนการปฏิบัติงาน หรือการทํางานของระบบงานต่าง ๆ ซึ่งอาจกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ ตัวอย่างของการควบคุมดังกล่าว เช่น
- กําหนดขั้นตอนหรือวิธีปฏิบัติที่เป็นลายลักษณ์อักษร ในกรณีการเปลี่ยนแปลงที่มีนัยสําคัญ
- มีแผนรองรับ และดําเนินการทดสอบภายหลังการเปลี่ยนแปลง
- มีการประเมินผลกระทบที่อาจเกิดขึ้นจากการเปลี่ยนแปลง
- มีขั้นตอนการขออนุมัติจากผู้มีอํานาจ
- มีขั้นตอนการตรวจสอบเพื่อให้มั่นใจว่ากระบวนการเปลี่ยนแปลงดังกล่าวเป็นไปตามนโยบาย
ด้านความมั่นคงปลอดภัยของระบบสารสนเทศ
- มีการสื่อสารให้บุคคลที่เกี่ยวข้องได้รับทราบเพื่อให้สามารถปฏิบัติงานได้อย่างถูกต้อง
- มีกระบวนการถอยกลับสู่สภาพเดิม (fall-back) ของระบบงาน หากเกิดข้อผิดพลาดระหว่างการเปลี่ยนแปลง
1. ผู้ประกอบธุรกิจควรติดตามประสิทธิภาพการทํางานของระบบสารสนเทศและทรัพย์สินสารสนเทศประเภทอุปกรณ์ที่สําคัญ ให้ทํางานได้อย่างต่อเนื่องและมีประสิทธิภาพ เพื่อใช้เป็นข้อมูลในการประเมินสมรรถภาพและความเพียงพอ (capacity) ของระบบสารสนเทศ ทรัพย์สินสารสนเทศประเภทอุปกรณ์และบุคลากร รวมถึงเพื่อให้สามารถรองรับแผนการปฏิบัติงานในอนาคตได้อย่างมีประสิทธิภาพด้วย
1. ผู้ประกอบธุรกิจควรแบ่งแยกส่วนคอมพิวเตอร์ที่มีไว้สําหรับการพัฒนาระบบงาน (develop environment) และใช้งานจริง (production environment) ออกจากกัน และควบคุมให้มีการเข้าถึงเฉพาะผู้ที่เกี่ยวข้องในแต่ละส่วนเท่านั้น ทั้งนี้ การแบ่งแยกส่วนดังกล่าวอาจแบ่งโดยใช้เครื่องคอมพิวเตอร์คนละเครื่อง หรือแบ่งโดยการจัดเนื้อที่แยกไว้ต่างหากภายในเครื่องคอมพิวเตอร์เดียวกันก็ได้
**8.2 การป้องกันภัยคุกคามจากโปรแกรมไม่ประสงค์ดี (protection from malware)**
| วัตถุประสงค์ เพื่อให้มั่นใจว่าระบบสารสนเทศได้รับการป้องกันภัยคุกคามจากโปรแกรมไม่ประสงค์ดี |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ในการกําหนดมาตรการป้องกันและตรวจสอบโปรแกรมไม่ประสงค์ดี และมาตรการในการแก้ไขระบบสารสนเทศเพื่อให้กลับมาใช้งานได้ตามปกติ (recovery) ตามข้อกําหนด 23(2) นั้น ผู้ประกอบธุรกิจควรมีมาตรการขั้นต่ํา ดังนี้
2. กําหนดนโยบายห้ามใช้ซอฟต์แวร์ที่ไม่ได้รับอนุญาต
3. มีกระบวนการป้องกัน และตรวจสอบการใช้ซอฟต์แวร์ที่ไม่ได้รับอนุญาต และการใช้งานเว็บไซต์ ที่อาจมีโปรแกรมไม่ประสงค์ดี
4. ติดตั้งซอฟต์แวร์ตรวจสอบโปรแกรมไม่ประสงค์ดี และปรับปรุงให้เป็นปัจจุบันอย่างสม่ําเสมอ พร้อมทั้งกําหนดผู้มีหน้าที่รับผิดชอบให้รายงานและแก้ไขปัญหากรณีพบภัยคุกคาม
5. ตรวจสอบซอฟต์แวร์ระบบงานที่มีความสําคัญอย่างสม่ําเสมอ หากพบการติดตั้งหรือเปลี่ยนแปลง ที่ไม่ได้รับอนุญาต ควรจัดให้มีการตรวจสอบ
6. จัดให้มีการติดตามและกลั่นกรองข่าวสารเกี่ยวกับภัยคุกคาม เพื่อให้ทราบข้อเท็จจริง รวมทั้งแจ้งให้ ผู้ที่เกี่ยวข้องได้ตระหนักถึงภัยคุกคามดังกล่าว
**8.3 การสํารองข้อมูล (backup)**
| วัตถุประสงค์ เพื่อป้องกันการสูญหายของข้อมูล |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ผู้ประกอบธุรกิจควรจัดให้มีนโยบายสํารองข้อมูลสําคัญทางธุรกิจ รวมถึงระบบปฏิบัติการ (operating system) แอพพลิเคชั่นระบบงานคอมพิวเตอร์ (application system) และชุดคําสั่งที่ใช้ทํางานให้ครบถ้วน ให้สามารถพร้อมใช้งานได้อย่างต่อเนื่อง โดยขั้นต่ําควรพิจารณา ดังนี้
2. กําหนดขั้นตอนหรือวิธีปฏิบัติในการสํารองข้อมูลเพื่อเป็นแนวทางให้แก่ผู้ปฏิบัติงาน โดยอย่างน้อย ควรมีรายละเอียดเกี่ยวกับ
(ก) ข้อมูลที่ต้องสํารอง
(ข) ความถี่ในการสํารอง
(ค) ประเภทสื่อบันทึกข้อมูล
(ง) จํานวนที่ต้องสํารอง
(จ) ขั้นตอนและวิธีการสํารองโดยละเอียด
(ฉ) สถานที่และวิธีการเก็บรักษาสื่อบันทึกข้อมูล
(ช) กระบวนการกู้คืนข้อมูลในกรณีที่สูญหาย
1. จัดเก็บสื่อบันทึกข้อมูลสํารอง พร้อมทั้งสําเนาขั้นตอนหรือวิธีปฏิบัติต่าง ๆ ไว้นอกสถานที่เพื่อความปลอดภัยในกรณีที่สถานที่ปฏิบัติงานได้รับความเสียหาย โดยสถานที่ดังกล่าวควรจัดให้มีระบบควบคุมการเข้าออกและระบบป้องกันความเสียหายตามที่กล่าวในหัวข้อการสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อมด้วย
2. กําหนดเป้าหมายในการกู้คืนข้อมูล เช่น กําหนดประเภทของข้อมูล และชุดข้อมูลล่าสุดที่จะกู้คืนได้ (recovery point objective : RPO)
3. ในกรณีที่จําเป็นต้องจัดเก็บข้อมูลเป็นระยะเวลานาน ควรคํานึงถึงวิธีการนําข้อมูลกลับมาใช้งาน ในอนาคตด้วย เช่น กรณีที่จัดเก็บข้อมูลในสื่อบันทึกประเภทใด ควรมีการเก็บอุปกรณ์และโปรแกรม ที่เกี่ยวข้องสําหรับใช้อ่านสื่อบันทึกประเภทนั้นไว้ด้วยเช่นกัน เป็นต้น
**8.4 การบันทึก จัดเก็บหลักฐานและติดตาม (logging and monitoring)**
| วัตถุประสงค์ เพื่อบันทึกและจัดเก็บหลักฐานการใช้งานเกี่ยวกับระบบสารสนเทศอย่างครบถ้วนและเพียงพอสําหรับ การตรวจสอบการล่วงรู้ข้อมูลภายในระหว่างหน่วยงานและบุคลากร การสอบทานการใช้งานข้อมูลและระบบสารสนเทศตามหน้าที่ที่ผู้ปฏิบัติงานได้รับมอบหมาย การตรวจสอบการเข้าใช้งานระบบสารสนเทศโดยบุคคลที่ไม่มีอํานาจหน้าที่เกี่ยวข้อง การตรวจสอบและป้องกันการใช้งานระบบสารสนเทศที่มี ความผิดปกติหรือไม่เป็นไปตามกฎหมายหรือหลักเกณฑ์ของทางการ และการตรวจสอบตัวตนของลูกค้า ที่ทํารายการซื้อขายผ่านระบบอินเทอร์เน็ต รวมทั้งเพื่อให้มีการติดตามและวิเคราะห์หลักฐานที่จัดเก็บ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ผู้ประกอบธุรกิจควรจัดให้มีการป้องกันข้อมูลและระบบการบันทึกและจัดเก็บหลักฐานการใช้งานเกี่ยวกับระบบสารสนเทศของผู้ใช้งานทั่วไป รวมถึง system administrator logs และ system operator logsจากการถูกเปลี่ยนแปลงแก้ไข ทําความเสียหาย หรือเข้าถึงโดยไม่ได้รับอนุญาต และมีการตรวจสอบอย่างน้อยปีละ 1 ครั้งและเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ
1. ผู้ประกอบธุรกิจที่เป็นสมาชิกของตลาดหลักทรัพย์ควรกําหนดระบบเวลาของอุปกรณ์และระบบสารสนเทศที่เกี่ยวกับการซื้อขายหลักทรัพย์และการชําระราคาให้ตรงกับเวลาอ้างอิงของระบบซื้อขายหลักทรัพย์ของตลาดหลักทรัพย์ ทั้งนี้ เพื่อให้การตรวจสอบธุรกรรมที่ไม่เหมาะสมทั้งหมดเป็นไปอย่างถูกต้องและมีประสิทธิภาพ
1. กรณีที่ผู้ประกอบธุรกิจใช้งานระบบสารสนเทศที่มีความสําคัญร่วมกันกับบริษัทในเครือที่อยู่ในต่างประเทศผู้ประกอบธุรกิจอาจกําหนดให้บริษัทในเครือนั้นเป็นผู้ติดตามวิเคราะห์หลักฐาน พร้อมทั้งจัดเก็บผลการวิเคราะห์ดังกล่าวได้
**8.5 การควบคุมการติดตั้งซอฟต์แวร์บนระบบงาน (installation of software on operational systems)**
| วัตถุประสงค์ เพื่อควบคุมให้ระบบงานทํางานโดยมีความถูกต้อง ครบถ้วน และน่าเชื่อถือ (integrity of operational system) |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
- ไม่มีแนวปฏิบัติเพิ่มเติม -
**8.6 การบริหารจัดการช่องโหว่ทางเทคนิค (technical vulnerability management)**
| วัตถุประสงค์ เพื่อป้องกันภัยคุกคามจากช่องโหว่ทางเทคนิค |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ผู้ประกอบธุรกิจควรจัดให้มีการติดตามข้อมูลข่าวสารเกี่ยวกับช่องโหว่ทางเทคนิคที่อาจเป็นความเสี่ยงต่อระบบสารสนเทศของผู้ประกอบธุรกิจอย่างทันต่อเหตุการณ์ รวมทั้งควรจัดให้มีการตรวจสอบหาช่องโหว่ดังกล่าวและมีมาตรการดําเนินการเพื่อปิดช่องโหว่หรือกําหนดแผนรองรับกรณีที่ระบบถูกบุกรุก ผ่านช่องโหว่ดังกล่าว โดยควรกําหนดแนวทางดําเนินการดังนี้
2. กําหนดผู้มีหน้าที่รับผิดชอบในการจัดการเกี่ยวกับช่องโหว่ทางเทคนิค โดยครอบคลุมถึงการประเมินความเสี่ยงของทรัพย์สินสารสนเทศที่เกี่ยวข้องซึ่งอาจได้รับผลกระทบจากช่องโหว่ดังกล่าวโดยเฉพาะทรัพย์สินสารสนเทศที่มีความเสี่ยงสูง การดําเนินการเพื่อปิดช่องโหว่ (patching) และการประสานงานกับบุคคลที่เกี่ยวข้อง
3. จัดให้มีการปิดช่องโหว่ที่พบโดยไม่ชักช้า โดยควรมีการประเมินความเสี่ยงของโปรแกรมเพื่อปิดช่องโหว่ (patches) ก่อนการติดตั้งโปรแกรมเพื่อทดสอบและประเมินผลกระทบที่อาจเกิดจากการติดตั้งโปรแกรมดังกล่าว ทั้งนี้ กรณีที่ไม่มีโปรแกรมเพื่อปิดช่องโหว่ ให้ปฏิบัติตามคําแนะนําของบริษัทผู้ผลิตทรัพย์สินสารสนเทศที่เกี่ยวข้อง
4. มีกระบวนการจัดการช่องโหว่ด้านเทคนิคที่สอดคล้องกับกระบวนการจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (incident management) เพื่อเตรียมความพร้อมรองรับกรณีที่ระบบถูกบุกรุกผ่านช่องโหว่ ทั้งนี้ ให้รวมถึงกรณีที่ตรวจพบช่องโหว่แต่ยังไม่สามารถหาวิธีปิดช่องโหว่ได้
5. มีการบันทึกและจัดเก็บหลักฐานเพื่อการตรวจสอบในการดําเนินการต่าง ๆ ที่เกี่ยวข้องกับการจัดการช่องโหว่ทางเทคนิค ทั้งนี้ กรณีที่ผู้ประกอบธุรกิจใช้วิธีปรับปรุงโปรแกรมเพื่อปิดช่องโหว่แบบอัตโนมัติ (automatic patching) สําหรับระบบหรืออุปกรณ์ใด ๆ ซึ่งผู้ประกอบธุรกิจได้ประเมินความเสี่ยงและผลกระทบจากการดําเนินการดังกล่าวแล้วพบว่าไม่สร้างความเสียหายต่อระบบงานผู้ประกอบธุรกิจอาจงดเว้นการบันทึกและจัดเก็บหลักฐานสําหรับการ patching ระบบหรืออุปกรณ์นั้นได้
**8.7 การตรวจสอบระบบสารสนเทศ (information systems audit)**
| วัตถุประสงค์ เพื่อจัดให้มีการวางแผนการตรวจสอบระบบสารสนเทศอย่างเพียงพอเหมาะสม โดยการตรวจสอบดังกล่าวควรส่งผลกระทบต่อการปฏิบัติงานน้อยที่สุด |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
- ไม่มีแนวปฏิบัติเพิ่มเติม -
**9. การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์ (communications security)**
**9.1 การบริหารจัดการระบบเครือข่ายคอมพิวเตอร์ (network security management)**
| วัตถุประสงค์ เพื่อป้องกันการกระทําที่มีความเสี่ยงต่อข้อมูลสารสนเทศในระบบเครือข่ายคอมพิวเตอร์ และป้องกันโครงสร้างพื้นฐานที่สนับสนุนระบบเครือข่ายคอมพิวเตอร์ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. การบริหารจัดการและควบคุมระบบเครือข่ายคอมพิวเตอร์อย่างมั่นคงปลอดภัยตามข้อกําหนด 22(1)ควรมีการดําเนินการขั้นต่ํา ดังนี้
2. แบ่งแยกหน้าที่ความรับผิดชอบระหว่าง network administrator และ computer administrator ออกจากกัน พร้อมทั้งกําหนดหน้าที่ความรับผิดชอบและขั้นตอนในการบริหารจัดการระบบ และอุปกรณ์เครือข่ายให้ชัดเจน
3. จํากัดการเชื่อมต่อระบบคอมพิวเตอร์ระหว่างเครือข่าย เช่น จํากัดการใช้งานจุดเชื่อมต่อระบบเครือข่าย (port outlet)
4. เปิดใช้งาน service port ที่เชื่อมต่อตามความจําเป็น พร้อมทั้งมีวิธีการเพื่อระบุถึงอุปกรณ์ที่เชื่อมต่อ (authenticate) อย่างชัดเจน เช่น IP address และประเภทของอุปกรณ์ เป็นต้น
5. มีการควบคุมการเชื่อมต่อกับระบบเครือข่ายสาธารณะ (public network) และระบบเครือข่ายไร้สาย (wireless network) อย่างรัดกุม เพื่อป้องกันการรั่วไหลหรือเปลี่ยนแปลงแก้ไขข้อมูลที่ส่งผ่านระบบเครือข่ายดังกล่าว รวมทั้งเพื่อป้องกันระบบที่เชื่อมต่อและแอพพลิเคชั่นที่ใช้งาน เช่น การเข้ารหัสเครือข่าย หรือการแบ่งแยกระบบเครือข่ายคอมพิวเตอร์ออกจากกัน เป็นต้น นอกจากนี้ ควรจัดให้มีการควบคุมเป็นพิเศษเพื่อให้ระบบเครือข่ายดังกล่าวอยู่ในสภาพที่พร้อมใช้งานอยู่เสมอ เช่น จัดให้มีระบบเครือข่ายคอมพิวเตอร์ที่ใช้งานทดแทนกันได้ (network load balance) เป็นต้น
6. มีการบันทึกและจัดเก็บหลักฐาน (logs) ที่ติดต่อกับระบบงานสําคัญและมีความเสี่ยงสูง เพื่อติดตามตรวจสอบการทํางานที่เกี่ยวข้อง หรืออาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบเครือข่ายคอมพิวเตอร์ ทั้งนี้ กรณีการใช้งานอินเทอร์เน็ตที่เกิดขึ้นจากการใช้งานผ่านเครือข่ายสารสนเทศของผู้ประกอบธุรกิจ ให้บันทึกและจัดเก็บหลักฐาน internet access log ตามข้อ 8.4
**9.2 การควบคุมการรับส่งข้อมูลสารสนเทศ (information transfer)**
| วัตถุประสงค์ เพื่อรักษาความมั่นคงปลอดภัยในการรับส่งข้อมูลสารสนเทศผ่านระบบเครือข่ายภายในองค์กร และระหว่างระบบเครือข่ายภายในองค์กรกับระบบเครือข่ายภายนอก |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 8(3) และ 22(4) ผู้ประกอบธุรกิจควรดําเนินการดังต่อไปนี้
2. จัดให้มีนโยบายและหลักปฏิบัติเพื่อปกป้องข้อมูลสารสนเทศที่รับส่งผ่านระบบและอุปกรณ์ในการสื่อสารทุกประเภท โดยมีเนื้อหาขั้นต่ําครอบคลุมถึง
3. แนวปฏิบัติที่ดีในการรับส่งข้อมูลสารสนเทศผ่านช่องทางการสื่อสารอิเล็กทรอนิกส์ประเภทต่าง ๆ
4. กระบวนการป้องกันการรับส่งข้อมูลสารสนเทศนอกเส้นทางที่ได้กําหนดไว้ (mis-routing) การดักรับสัญญาณ การเปลี่ยนแปลงแก้ไขหรือทําความเสียหายกับข้อมูล และโปรแกรมไม่ประสงค์ดี (malware) ที่ถูกส่งผ่านช่องทางการสื่อสาร
5. กระบวนการป้องกันข้อมูลที่เป็นความลับหรือมีความสําคัญที่รับส่งในรูปแบบของไฟล์แนบ (attachment files) และการส่งต่อจดหมายอิเล็กทรอนิกส์แบบอัตโนมัติออกสู่ภายนอกองค์กร
6. การนําเทคนิคการเข้ารหัสข้อมูลมาใช้ในการรับส่งข้อมูลสารสนเทศที่เป็นความลับและมีความสําคัญผ่านช่องทางการสื่อสารบางประเภทที่ต้องการการรักษาความมั่นคงปลอดภัย เช่น การใช้งานระบบ cloud computing เป็นต้น
7. ในการใช้งานระบบรับส่งข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์ (electronic messaging)ผู้ประกอบธุรกิจควรกําหนดมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลสารสนเทศที่รับส่งผ่านช่องทางดังกล่าว โดยควรจัดให้มีมาตรการป้องกันการเปลี่ยนแปลงแก้ไข ทําความเสียหาย หรือเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และมีกระบวนการตรวจสอบผู้ใช้งานอย่างเข้มงวดในกรณีที่ใช้งานผ่านเครือข่ายสาธารณะรวมทั้งควรจัดการและควบคุมให้ระบบทํางานรับส่งข้อมูลได้อย่างถูกต้องและพร้อมใช้งานอยู่เสมอ ทั้งนี้ การใช้งานระบบรับส่งข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์ที่ให้บริการโดยบุคคลภายนอก เช่น โปรแกรมสนทนาผ่านระบบอิเล็กทรอนิกส์ (instant messaging) ระบบเครือข่ายสังคมออนไลน์ (social networking) หรือโปรแกรมเรียกใช้แฟ้มข้อมูลร่วมกัน (file sharing) ผู้ประกอบธุรกิจควรจัดให้มีการควบคุมดูแลอย่างเหมาะสมเพียงพอ เช่น มีการขออนุมัติก่อนการใช้งาน รวมถึงควรปฏิบัติตามกฎหมายและหลักเกณฑ์ของทางการอย่างเคร่งครัด
1. ข้อตกลงเกี่ยวกับการรักษาความลับหรือไม่เปิดเผยข้อมูลที่มีความสําคัญตามข้อกําหนด 22(5)ควรมีเนื้อหาขั้นต่ําครอบคลุมถึง
2. การระบุความเป็นเจ้าของข้อมูลสําคัญทางธุรกิจ ทรัพย์สินทางปัญญา และวิธีป้องกันการรั่วไหล
ของข้อมูล
1. การป้องกันการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต โดยจัดให้มีการลงนามโดยผู้รับผิดชอบ
2. การกําหนดขั้นตอนการขออนุญาตเข้าถึงข้อมูลหรือกําหนดสิทธิการเข้าถึงข้อมูลตามที่ได้ลงนาม
3. การกําหนดสิทธิการเข้าถึงข้อมูลเพื่อตรวจสอบหรือติดตามการใช้งานข้อมูลที่มีความสําคัญ
4. การกําหนดกระบวนการแจ้งเตือนและรายงานผู้เกี่ยวข้องหากพบการรั่วไหลหรือเปิดเผยข้อมูล โดยไม่ได้รับอนุญาต
5. การกําหนดมาตรการดําเนินการกรณีละเมิดหรือยกเลิกข้อตกลง รวมทั้งข้อกําหนดในการคืนหรือทําลายข้อมูลที่มีความสําคัญเมื่อสิ้นสุดข้อตกลง
**10. การจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศ (system acquisition, development and maintenance)**
**10.1 การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (security requirements of information systems)**
| วัตถุประสงค์ เพื่อกําหนดให้กระบวนการรักษาความมั่นคงปลอดภัยด้านสารสนเทศเป็นส่วนหนึ่งของระบบสารสนเทศของทั้งภายในองค์กรและที่เกี่ยวข้องกับการให้บริการภายนอกผ่านเครือข่ายสาธารณะ ตลอดช่วงอายุ การใช้งานระบบสารสนเทศ (entire life cycle) ได้แก่ กระบวนการจัดหา กระบวนการพัฒนาระบบ (system development life cycle) การใช้งาน และการดูแลรักษา |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
- ไม่มีแนวปฏิบัติเพิ่มเติม -
**10.2 การรักษาความมั่นคงปลอดภัยในกระบวนการพัฒนาระบบสารสนเทศ (security in development and support process)**
| วัตถุประสงค์ เพื่อให้การพัฒนาหรือแก้ไขเปลี่ยนแปลงระบบสารสนเทศประมวลผลได้อย่างถูกต้องครบถ้วน และเป็นไปตามความต้องการของผู้ใช้งาน (change management) รวมถึงการรักษาไว้ซึ่งความมั่นคงปลอดภัยของระบบสารสนเทศตลอดช่วงการพัฒนาระบบงานสารสนเทศ (system development life cycle) |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. การควบคุมการพัฒนาหรือแก้ไขเปลี่ยนแปลงระบบสารสนเทศตามข้อกําหนด 24(3) ควรมีกระบวนการขั้นต่ํา ดังนี้
2. ประเมินผลกระทบที่อาจเกิดขึ้นจากการเปลี่ยนแปลง
3. กําหนดวิธีปฏิบัติให้คําขอให้แก้ไขหรือพัฒนาต้องมาจากผู้ที่มีสิทธิและอนุมัติคําขอโดยผู้มีอํานาจควบคุมผลข้างเคียงที่อาจเกิดขึ้นเนื่องจากมีการแก้ไข ตรวจรับจากผู้มีอํานาจภายหลังการแก้ไขหรือพัฒนาแล้วเสร็จก่อนโอนย้ายระบบงาน รวมทั้งจัดเก็บรายละเอียดของคําขอไว้
4. กําหนดวิธีปฏิบัติในกรณีที่มีการแก้ไขเปลี่ยนแปลงระบบงานคอมพิวเตอร์ในกรณีฉุกเฉินบันทึกเหตุผลความจําเป็นและขออนุมัติจากผู้มีอํานาจทุกครั้ง
5. ปรับปรุงเอกสารประกอบระบบงานทั้งหมดหลังจากที่ได้มีการแก้ไขเปลี่ยนแปลง เพื่อให้ทันสมัย อยู่เสมอ เช่น เอกสารประกอบรายละเอียดโครงสร้างข้อมูล คู่มือระบบงาน ทะเบียนรายชื่อผู้มีสิทธิ ใช้งาน ขั้นตอนการทํางานของโปรแกรม และควรจัดเก็บเอกสารดังกล่าวในที่ปลอดภัยและสะดวก ต่อการใช้งาน
6. จัดเก็บโปรแกรม version ก่อนการเปลี่ยนแปลงไว้ใช้งาน หรือมีกระบวนการถอยกลับสู่สภาพเดิม (fall-back) ของระบบงาน ในกรณีระบบงานผิดพลาดหรือไม่สามารถใช้งานได้
7. สื่อสารให้กับบุคคลที่เกี่ยวข้องได้รับทราบและสามารถปฏิบัติงานได้อย่างถูกต้อง
8. บันทึกและจัดเก็บหลักฐานทั้งหมด (audit trail) ที่เกี่ยวข้องกับการเปลี่ยนแปลง เพื่อใช้ประกอบ ในกรณีที่มีการตรวจสอบ
1. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 24(5) ผู้ประกอบธุรกิจควรจัดให้มีการทดสอบระบบสารสนเทศที่ได้รับการพัฒนาหรือแก้ไขเปลี่ยนแปลง เพื่อให้มั่นใจว่าการทํางานมีประสิทธิภาพ การประมวลผลถูกต้องครบถ้วน และเป็นไปตามความต้องการของผู้ใช้งาน พร้อมทั้งปรับปรุงแผนบริหารความต่อเนื่องทางธุรกิจ (business continuity plan)
2. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 24(6) ผู้ประกอบธุรกิจควรคํานึงถึงเรื่องดังต่อไปนี้
3. การรักษาความลับของข้อมูลที่นํามาประมวลผล จัดเก็บ และส่งผ่านระบบ และการควบคุม การนําข้อมูลเข้าและออกจากระบบที่อยู่ระหว่างการพัฒนา
4. การควบคุมการเข้าถึงสภาพแวดล้อมของการพัฒนาระบบสารสนเทศอย่างรัดกุมเหมาะสม
5. การติดตามหากมีการเปลี่ยนแปลงสภาพแวดล้อมของการพัฒนาระบบสารสนเทศ
6. มีการจัดเก็บข้อมูลสํารองในพื้นที่นอกองค์กรที่มีความมั่นคงปลอดภัย
1. ในการทดสอบการทํางานของระบบสารสนเทศที่ได้รับการพัฒนาโดยผู้ใช้งานหรือผู้ทดสอบที่เป็นอิสระตามข้อกําหนด 24(8) เพื่อให้มั่นใจได้ว่าระบบที่ได้รับการพัฒนาดังกล่าวสามารถทํางานได้อย่างถูกต้องตรงความต้องการของผู้ใช้งาน และเป็นไปตามนโยบายด้านความมั่นคงปลอดภัยของระบบสารสนเทศผู้ประกอบธุรกิจควรจัดให้มีแนวทางควบคุมและป้องกันการรั่วไหลของข้อมูลที่ใช้ในการทดสอบหากข้อมูลดังกล่าวเป็นความลับหรือมีความสําคัญ
**11. การใช้บริการระบบสารสนเทศจากผู้รับดําเนินการ (IT outsourcing)**
**11.1 การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศจากผู้รับดําเนินการ (information security inIT outsourcing)**
| วัตถุประสงค์ เพื่อป้องกันทรัพย์สินสารสนเทศของผู้ประกอบธุรกิจจากการเข้าถึงโดยผู้รับดําเนินการอย่างไม่เหมาะสม |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. นโยบายเกี่ยวกับการให้บุคคลอื่นเป็นผู้รับดําเนินการในงานที่เกี่ยวกับระบบสารสนเทศของผู้ประกอบธุรกิจตามข้อกําหนด 8(5) ควรมีเนื้อหาขั้นต่ําครอบคลุมประเด็นดังต่อไปนี้
2. กําหนดวิธีการคัดเลือกและประเมินผู้รับดําเนินการ (due diligence) โดยควรให้ความสําคัญในเรื่องการรักษาความปลอดภัยของข้อมูลสารสนเทศที่สําคัญ (confidentiality) ความถูกต้องเชื่อถือได้ของข้อมูลและระบบสารสนเทศ (integrity) และความพร้อมใช้งานของระบบสารสนเทศที่ใช้บริการ (availability) เช่น ผู้รับดําเนินการควรมีแผนรองรับกรณีเกิดเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (incident response policy) โดยคํานึงถึงแผนของผู้ประกอบธุรกิจ รวมทั้งมีกระบวนการการกู้คืนระบบงานให้เป็นไปตามข้อตกลงที่ได้กําหนดไว้ เพื่อให้ข้อมูลและการประมวลผลข้อมูลอยู่ในสภาพที่พร้อมใช้งานเสมอ เป็นต้น
3. กําหนดการทบทวนคุณสมบัติของผู้รับดําเนินการอย่างสม่ําเสมอ เช่น ฐานะทางการเงินความเพียงพอของการให้บริการ (capacity planning) เพื่อให้มั่นใจว่าผู้รับดําเนินการยังคงมีความพร้อมในการให้บริการที่เพียงพอต่อความต้องการของผู้ประกอบธุรกิจอย่างต่อเนื่อง
4. กําหนดข้อตกลงเกี่ยวกับการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศและกระบวนการควบคุมอย่างเป็นลายลักษณ์อักษร และมีการลงนามร่วมกันระหว่างผู้ประกอบธุรกิจและผู้รับดําเนินการ
ทั้งนี้ ผู้ประกอบธุรกิจควรมั่นใจว่าผู้รับดําเนินการมีหน้าที่รับผิดชอบในการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศเสมือนกับผู้ประกอบธุรกิจดําเนินการด้วยตนเอง
1. กําหนดหน้าที่ความรับผิดชอบของผู้รับดําเนินการ
2. ระบุประเภทข้อมูลสารสนเทศที่อนุญาตให้ผู้รับดําเนินการเข้าถึง เพื่อให้การกําหนดมาตรการควบคุมและติดตามการเข้าถึงข้อมูลเป็นไปอย่างเหมาะสม ภายใต้หลักความจําเป็นในการรู้ข้อมูล (need-to-know basis)
3. จัดให้มีขั้นตอนและกระบวนการติดตามควบคุมการเข้าถึงสารสนเทศอย่างเหมาะสม
4. มีการรักษาความมั่นคงปลอดภัยในกรณีที่มีการเคลื่อนย้ายหรือถ่ายโอนข้อมูลสารสนเทศ
5. มีการควบคุมความครบถ้วนถูกต้องของข้อมูลและการประมวลผลข้อมูลที่ได้รับจาก ผู้รับดําเนินการ
6. กําหนดกระบวนการควบคุมอย่างเป็นมาตรฐานเพื่อติดตามการทํางานของผู้รับดําเนินการ
1. ข้อตกลงเกี่ยวกับการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามข้อกําหนด 25(1) ควรมีเนื้อหาขั้นต่ําดังนี้
2. รายละเอียดของข้อมูลที่จําเป็นต้องใช้หรือเข้าถึงโดยผู้รับดําเนินการ รวมทั้งวิธีการเข้าถึงข้อมูลดังกล่าว
3. การจัดแบ่งประเภทข้อมูลซึ่งสอดคล้องกับนโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ
4. มีมาตรการดําเนินการเพื่อให้มั่นใจได้ว่าข้อมูลที่เป็นความลับหรือมีความสําคัญ ทรัพย์สินทางปัญญา และลิขสิทธิ์ของผู้ประกอบธุรกิจได้รับการคุ้มครองอย่างปลอดภัยตามกฎหมายและหลักเกณฑ์ของทางการที่เกี่ยวข้อง
5. กําหนดหน้าที่ความรับผิดชอบของผู้รับดําเนินการในการปฏิบัติงานภายใต้การควบคุมต่าง ๆเช่น กําหนดเงื่อนไขการเข้าถึงข้อมูลของผู้ประกอบธุรกิจ ติดตามตรวจสอบการปฏิบัติงานของ ผู้รับดําเนินการให้เป็นไปตามข้อตกลงของผู้ประกอบธุรกิจ กําหนดให้ผู้รับดําเนินการรายงานผลการปฏิบัติงานให้ผู้ประกอบธุรกิจทราบเมื่อร้องขอ การแก้ไขปัญหาต่าง ๆ ภายในระยะเวลาที่กําหนด รวมทั้งการปฏิบัติงานให้เป็นไปตามนโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศของผู้ประกอบธุรกิจ
6. แนวทางการใช้งานข้อมูลสารสนเทศอย่างถูกต้องเหมาะสม
7. แนวทางการแก้ไขปัญหากรณีที่เกิดข้อผิดพลาดจากการปฏิบัติหน้าที่
8. รายชื่อและช่องทางสําหรับติดต่อบุคคลหรือหน่วยงานอื่น ๆ ที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งบุคคล หรือหน่วยงานที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ
9. มีข้อกําหนดเพิ่มเติมเกี่ยวกับการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ กรณีที่ผู้ให้บริการภายนอกมอบหมายการปฏิบัติงานให้กับบุคคลอื่นต่อ (sub-contracting to another supplier)
**11.2 การควบคุมการส่งมอบงานของผู้รับดําเนินการ (Supplier Service Delivery Management)**
| วัตถุประสงค์ เพื่อควบคุมผู้รับดําเนินการส่งมอบงานให้เป็นไปตามข้อตกลงที่จัดทําไว้กับผู้ประกอบธุรกิจ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ในการติดตาม ประเมิน ทบทวน และตรวจสอบผู้รับดําเนินการตามข้อกําหนด 25(2) ผู้ประกอบควรพิจารณาฐานะทางการเงิน กระบวนการปฏิบัติงาน และประสิทธิภาพการให้บริการของผู้รับดําเนินการประกอบกัน
**12. การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (information security incident management)**
| วัตถุประสงค์ เพื่อให้เหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศได้รับการดําเนินการอย่างถูกต้อง มีประสิทธิภาพ ในช่วงระยะเวลาที่เหมาะสม |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ในการกําหนดขั้นตอนและกระบวนการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ รวมทั้งกําหนดผู้มีหน้าที่รับผิดชอบซึ่งมีความรู้ความสามารถและประสบการณ์ตามข้อกําหนด 11(1) และ (2) ผู้ประกอบธุรกิจควรกําหนดขั้นตอนและกระบวนการขั้นต่ําดังต่อไปนี้
2. กําหนดแผนรองรับในกรณีที่เกิดเหตุการณ์อย่างเป็นลายลักษณ์อักษร
3. ประเมินเหตุการณ์หรือจุดอ่อนของมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศและพิจารณาว่าควรจัดเป็นเหตุการณ์และมีระดับความรุนแรงที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ
4. จัดให้มีบุคคลหรือหน่วยงานเพื่อทําหน้าที่รับแจ้งเหตุการณ์ (point of contact) และรายงานเหตุการณ์ต่อคณะผู้บริหารหรือผู้เกี่ยวข้องให้ทราบและดําเนินการต่อไป (escalation)
5. ดําเนินการเพื่อตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างมีประสิทธิภาพ เพื่อทําให้เหตุการณ์คลี่คลายหรือกลับสู่ภาวะปกติอย่างรวดเร็ว
6. รวบรวมและจัดเก็บหลักฐานโดยไม่ชักช้า เมื่อเกิดเหตุการณ์ที่ส่งผลกระทบต่อระบบสารสนเทศที่มีความสําคัญอย่างมีนัยสําคัญ เช่น ก่อให้เกิดความเสียหายกับข้อมูลหรือทรัพย์สินของลูกค้า โดยคํานึงถึงประเด็นสําคัญต่าง ๆ เช่น มีกระบวนการการจัดเก็บอย่างมั่นคงปลอดภัย การกําหนดหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้อง การคัดเลือกบุคคลที่มีความรู้ความสามารถหรือมีประสบการณ์ด้านการรวบรวมและจัดเก็บหลักฐาน เพื่อวิเคราะห์ตรวจสอบและจัดทําเอกสารสรุปนําเสนอต่อบุคคลที่มีหน้าที่รับผิดชอบ เป็นต้น ทั้งนี้ การรวบรวม จัดเก็บ และนําเสนอหลักฐาน ควรสอดคล้องกับหลักเกณฑ์ของกฎหมายที่ใช้บังคับ
7. บันทึกและจัดเก็บหลักฐานการบริหารจัดการตามความจําเป็นและเหมาะสม
8. รายงานให้สํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์รับทราบถึงสถานการณ์และผลการบริหารจัดการ
9. ตรวจหา ติดตาม วิเคราะห์ และรายงานเหตุการณ์ ทั้งนี้ ให้รวมถึงการวิเคราะห์ภายหลังเหตุการณ์ยุติแล้ว เพื่อระบุถึงสาเหตุของเหตุการณ์และเพื่อใช้ประโยชน์จากผลการวิเคราะห์ในการเตรียม ความพร้อมรองรับเหตุการณ์ที่อาจเกิดขึ้นได้อีกในอนาคต
1. ในการรายงานสถานการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยต่อบุคคลหรือหน่วยงานที่ทําหน้าที่รับแจ้งเหตุการณ์ (point of contact) ตามข้อกําหนด 11(3) ผู้ประกอบธุรกิจควรดําเนินการดังนี้
2. จัดทําแบบฟอร์มที่เป็นมาตรฐานเพื่อรองรับการรายงานสถานการณ์ และสร้างความเข้าใจให้กับผู้รายงานเกี่ยวกับการดําเนินการต่าง ๆ ที่จําเป็นในกรณีที่เกิดเหตุการณ์ ทั้งนี้ เนื้อหาขั้นต่ํา
ควรประกอบด้วย วันเวลา เหตุการณ์ ผลกระทบที่คาดว่าจะเกิดขึ้น การดําเนินการแก้ไข ผลการแก้ไข ระยะเวลาในการแก้ไข สาเหตุที่เกิดปัญหา และแนวทางการป้องกันในอนาคต
1. รายงานคณะผู้บริหารขององค์กรเมื่อทราบเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัย เช่น พบช่องโหว่ในการควบคุมความมั่นคงปลอดภัย (ineffective security control) เกิดเหตุการณ์ ที่อาจส่งผลกระทบต่อการรักษาความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของระบบสารสนเทศ ข้อผิดพลาดจากการปฏิบัติงาน (human errors) การบุกรุกด้านกายภาพ (breaches of physical security arrangements) การปฏิบัติงาน ที่ไม่เป็นไปตามนโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (non-compliances with policies) การเปลี่ยนแปลงระบบปฏิบัติการหรือชุดคําสั่งที่ควบคุมระบบงานโดยไม่ได้รับอนุญาต (uncontrolled system changes) การทํางานผิดพลาดของโปรแกรมและอุปกรณ์คอมพิวเตอร์ (malfunctions of software or hardware) และการเข้าถึงโดยไม่ได้รับอนุญาต (access violations)
2. รายงานสํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์เมื่อมีเหตุการณ์ที่ส่งผลกระทบต่อระบบสารสนเทศที่มีความสําคัญ ประเภทดังต่อไปนี้
(ก) ระบบหยุดชะงัก (system disruption)
(ข) มีการบุกรุก เข้าถึง หรือใช้งานระบบโดยไม่ได้รับอนุญาต (system compromised)(ค) ส่งผลกระทบต่อชื่อเสียงของผู้ประกอบธุรกิจ (harm to reputation) เช่น ถูกปลอมแปลง หน้าเว็บไซต์ของบริษัท (website defacement) โดยให้รายงาน ดังนี้
* รายงานโดยไม่ชักช้าเมื่อทราบเหตุการณ์ โดยมีเนื้อหาครอบคลุมถึงวันเวลา ประเภทเหตุการณ์ เหตุการณ์ และผลกระทบที่คาดว่าจะเกิดขึ้น ทั้งนี้ อาจแจ้งโดยวาจาหรือผ่านระบบรับส่งข้อความผ่านทางอิเล็กทรอนิกส์ (electronic messaging) ตามความเหมาะสม
* รายงานภายในวันทําการถัดไปหลังทราบเหตุการณ์ เป็นลายลักษณ์อักษร โดยมีเนื้อหาครอบคลุมถึงวันเวลา ประเภทเหตุการณ์ เหตุการณ์ ผลกระทบที่เกิดขึ้น การดําเนินการแก้ไขปัญหา และความคืบหน้าในการแก้ไขปัญหา
* รายงานเมื่อเหตุการณ์ยุติหรือแก้ไขปัญหาแล้วเสร็จ เป็นลายลักษณ์อักษร โดยมีเนื้อหาครอบคลุมถึงวันเวลา ประเภทเหตุการณ์ เหตุการณ์ ผลกระทบที่เกิดขึ้น การดําเนินการแก้ไขปัญหา ผลการแก้ไขปัญหา ระยะเวลาในการแก้ไข สาเหตุที่เกิดปัญหา และแนวทางป้องกันในอนาคต
* แจ้งบุคคลที่เกี่ยวข้อง เช่น ลูกค้า รับทราบโดยไม่ชักช้า ในกรณีที่เหตุการณ์ส่งผลกระทบต่อบุคคลดังกล่าว
* จัดให้มีการรายงานความคืบหน้าในการบริหารจัดการสถานการณ์และผลการบริหารจัดการเป็นระยะ และเมื่อเหตุการณ์ยุติแล้ว
1. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 11(4) (5) และ (7) ผู้ประกอบธุรกิจควรดําเนินการ ดังต่อไปนี้
(1) จัดให้มีการจําลองสถานการณ์เสี่ยง (risk scenarios) เพื่อทดสอบการเตรียมความพร้อมรับมือต่อเหตุการณ์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ โดย risk scenarios ดังกล่าวควรมีลักษณะดังต่อไปนี้
(ก) เป็นสถานการณ์ที่สอดคล้องกับลักษณะ ขอบเขต และความซับซ้อนในการประกอบธุรกิจของผู้ประกอบธุรกิจ
(ข) เป็นสถานการณ์ที่เมื่อเกิดขึ้นแล้ว จะส่งผลกระทบต่อระบบสารสนเทศอย่างมีนัยสําคัญ
(ค) เป็นสถานการณ์ที่สามารถวัดผลได้ และนําผลที่ได้ไปใช้ในการทบทวนขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ เพื่อให้เกิดความมั่นคงปลอดภัยของระบบสารสนเทศ
(ง) เป็นสถานการณ์ที่มีความสมเหตุสมผล สามารถปฏิบัติได้จริงโดยไม่ขัดแย้งกัน
(จ) เป็นสถานการณ์ที่มีความเป็นไปได้ และสอดคล้องกับสถานการณ์จริงในปัจจุบัน
(2) จัดเก็บเอกสารที่เกี่ยวข้องกับการทดสอบให้ครบถ้วนและเป็นปัจจุบัน ดังนี้
(ก) สถานการณ์เสี่ยง (risk scenario) ที่ใช้ในการทดสอบ
(ข) สรุปผลการทดสอบ ผลการประเมิน และผลการทบทวนแผนรองรับในกรณีที่เกิดเหตุการณ์
**13. การบริหารความต่อเนื่องทางธุรกิจในด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (information security aspects of business continuity management)**
| วัตถุประสงค์ เพื่อให้การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศเป็นส่วนหนึ่งของการบริหารความต่อเนื่อง ทางธุรกิจ (business continuity management) ของผู้ประกอบธุรกิจ ทั้งนี้ เพื่อให้ระบบสารสนเทศ อยู่ในสภาพที่พร้อมใช้งานอยู่เสมอ |
**ข้อกําหนดในประกาศที่ สธ. 37/2559**
**แนวทางปฏิบัติเพิ่มเติมจากข้อกําหนด**
1. ในการกําหนดขั้นตอน กระบวนการดําเนินการ และการควบคุมด้านความมั่นคงปลอดภัยของระบบสารสนเทศตามข้อกําหนด 12(2) ควรมีรายละเอียดขั้นต่ําดังต่อไปนี้
2. กําหนดขั้นตอนดําเนินการเพื่อตอบสนองต่อเหตุการณ์ที่เกิดขึ้น (incident response process) ให้เป็นไปตามนโยบายการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัย ของระบบสารสนเทศ
3. มีขั้นตอนการแก้ไขปัญหาในแต่ละเหตุการณ์โดยละเอียด ชัดเจน พร้อมทั้งกําหนดผู้มีหน้าที่รับผิดชอบที่สามารถปฏิบัติงานได้ในแต่ละเหตุการณ์
4. มีรายละเอียดของอุปกรณ์ที่จําเป็นต้องใช้ในกรณีฉุกเฉินของแต่ละระบบงาน เช่น รุ่นของเครื่องคอมพิวเตอร์ คุณลักษณะของเครื่องคอมพิวเตอร์ (specification) ขั้นต่ํา ข้อมูลเกี่ยวกับการปรับแต่ง (configuration) และอุปกรณ์เครือข่ายคอมพิวเตอร์ เป็นต้น
5. ระบุรายละเอียดเกี่ยวกับศูนย์คอมพิวเตอร์สํารอง (ถ้ามี) ให้ชัดเจน เช่น สถานที่ตั้ง แผนที่ เป็นต้น
-----------------------ข้อ 5 ผู้ประกอบธุรกิจต้องจัดให้มีนโยบายเป็นลายลักษณ์อักษรในการกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศอย่างน้อยในเรื่องดังต่อไปนี้ ทั้งนี้ นโยบายดังกล่าวต้องได้รับความเห็นชอบจากคณะกรรมการของผู้ประกอบธุรกิจหรือคณะกรรมการที่ได้รับมอบหมายจากคณะกรรมการของผู้ประกอบธุรกิจ
(1) การบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ซึ่งครอบคลุมถึงการระบุความเสี่ยงการประเมินความเสี่ยง และการควบคุมความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
(2) การจัดสรรและบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศ ซึ่งครอบคลุมถึงการจัดสรรทรัพยากรให้เพียงพอต่อการดําเนินธุรกิจ และการกําหนดแนวทางเพื่อรองรับในกรณีที่ไม่สามารถจัดสรรทรัพยากรได้เพียงพอตามที่กําหนดไว้
(3) การจัดให้มีนโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามข้อ 8 และข้อ 9