บทที่12 เรื่องที่3 มาตรการความปลอดภัย

มาตรการความปลอดภัย

การควบคุมการเข้าถึงระบบสารสนเทศ ต้องควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมวลผลข้อมูล ที่ คำนึงถึงการใช้งานและความมั่นคงปลอดภัยในการใช้งานระบบสารสนเทศ โดยมี ข้อก าหนดกฎเกณฑ์ที่เกี่ยวกับการอนุญาตให้เข้าถึง และสิทธิในการใช้งาน เพื่อให้ ผู้ใช้งานในทุกระดับได้รับรู้ เข้าใจ และสามารถปฏิบัติตามแนวทางที่ก าหนดโดย เคร ่งครัด และตระหนักถึงความส าคัญของการรักษาความมั ่นคงปลอดภัยของ ระบบสารสนเทศ การบริหารจัดการการเข้าถึงของผู้ใช้งาน เพื่อควบคุมการเข้าถึงระบบสารสนเทศและป้องกันการเข้าถึงจากผู้ไม่ได้ รับอนุญาต ต้องลงทะเบียนผู้ใช้งาน ตรวจสอบบัญชีผู้ใช้งาน อนุมัติและก าหนด รหัสผ่านการลงทะเบียนผู้ใช้งาน เพื่อให้ผู้ใช้งานได้รับอนุญาตเท่านั้นที่จะสามารถ เข้าใช้งานระบบสารสนเทศได้ และต้องเก็บบันทึกข้อมูลการเข้าถึงและข้อมูลจราจร ทางคอมพิวเตอร์ ตลอดจนบริหารจัดการสิทธิในการเข้าถึงข้อมูลให้เหมาะสมตาม ระดับชั้นความลับ ต้องทบทวนสิทธิการใช้งานและตรวจสอบการละเมิดความ ปลอดภัยอย่างสม่ าเสมอ การควบคุมการเข้าถึงเครือข่าย เพื ่อป้องกันการเข้าถึงบริการทางเครือข ่ายโดยไม ่ได้รับอนุญาต ต้อง ก าหนดสิทธิในการเข้าถึงเครือข่ายให้ผู้ที่จะเข้าใช้งาน และต้องพิสูจน์ยืนยันตัวตน (Authentication) ของผู้ใช้ก่อนการเข้าใช้งาน ต้องก าหนดเส้นทางการเชื ่อมต ่อ ระบบคอมพิวเตอร์ส าหรับใช้งานอินเตอร์เน็ต โดยผ่านระบบรักษาความปลอดภัย ตามที ่ส านักงานคณะกรรมการอาหารและยาจัดสรรไว้ และออกแบบระบบ เครือข่ายโดยแบ่งเขต (Zone) การใช้งาน เพื่อท าให้การควบคุมและป้องกันภัย คุกคามได้อย่างเป็นระบบและมีประสิทธิภาพ การจัดท าระบบส ารองข้อมูล เพื ่อให้ระบบสารสนเทศของหน ่วยงานสามารถให้บริการได้อย ่างต ่อเนื ่อง และมีเสถียรภาพ ต้องจัดท าระบบสารสนเทศและระบบส ารองข้อมูลที่เหมาะสมให้ อยู่ในสภาพพร้อมใช้งาน โดยคัดเลือกระบบสารสนเทศที่ส าคัญเรียงล าดับความจ า เป็นจากมากไปน้อย พร้อมทั้งก าหนดหน้าที่และความรับผิดชอบของเจ้าหน้าที่ใน การส ารองข้อมูล และจัดท าแผนเตรียมความพร้อมในกรณีฉุกเฉินหรือในกรณีที่ไม่ สามารถด าเนินการด้วยวิธีการทางอิเล็กทรอนิกส์อย ่างน้อยปีละ ๑ ครั้ง เพื ่อให้ สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ ต้องตรวจสอบและประเมินความเสี ่ยงด้านสารสนเทศ โดยจัดการ ตรวจสอบภายในของหน่วยงาน (Internal Audit) หรือการตรวจสอบอิสระด้าน ความมั่นคงปลอดภัยจากภายนอก (External Audit) อย ่างน้อยปีละ ๑ ครั้ง เพื่อให้หน่วยงานได้ทราบถึงระบบความเสี่ยงและระดับความมั่นคงปลอดภัยด้าน สารสนเทศ 1. ข้อก าหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities) 2. ข้อก าหนดด้านการบริหารจัดการซอฟต์แวร์และลิขสิทธิ์ และการป้องกันโปรแกรมไม่ ประสงค์ดี (Software Licensing and intellectual property and Preventing Malware) 3. ข้อก าหนดด้านการควบคุมการใช้อินเตอร์เน็ต (Internet) 4. บทลงโทษ ข้าราชการ ลูกจ้างประจ า และลูกจ้างเหมา มีบทลงโทษที่แตกต่างกัน โดยรายละเอียดเนื้อหาในสัญญาได้ผ่านการพิจารณาจาก ท่านจิรวุสฐ์ สุขได้พึ่ง ส านักงานอัยการสูงสุด สัญญาว่าด้วยการรักษาความลับ มาตรฐาน ISO 27001 ISO 27001 (Information Security Management System: ISMS) ระบบการ จัดการความมั่นคงปลอดภัยของสารสนเทศ เน้นการบริหารจัดการความเสี่ยงของสารสนเทศ เป็นมาตรฐานการจัดการข้อมูลที ่มีความส าคัญเพื ่อให้ธุรกิจดำเนินไปอย่างต่อเนื่องช่วย ป้องกันกระบวนการทางธุรกิจจากภัยร้ายแรงต่างๆ เช่น แผ่นดินไหว วาตภัย อุทกภัย ฯลฯ

และความเสียหายของระบบข้อมูล มาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับ ระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้าง ความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร การพิจารณาความปลอดภัยของระบบสารสนเทศ ๑. ความลับของข้อมูล (Confidentiality) ๒. ความถูกต้องสมบูรณ์ของข้อมูล (Integrity) ๓. ความพร้อมใช้งานของข้อมูล (Availability) ๔. การยืนยันตัวตนของผู้ใช้ (Authentication) ๕. การควบคุมสิทธิในการใช้งานของผู้ใช้ (Authorization) ๖. การไม่สามารถปฏิเสธการกระท า (Non repudiation) ระบบบริหารความปลอดภัยสารสนเทศ ๑. ข้อมูลส่วนตัว ข้อมูลส าคัญขององค์กร ข้อมูลผู้ประกอบการ การรักษาความปลอดภัยด้านข้อมูลไม่ให้ถูกขโมย ลักลอบน าไปใช้ ดัดแปลง หรือ ท าให้เกิดข้อผิดพลาดอื่นใด ๒. การบริหารความเสี่ยงจากเหตุการณ์และปัจจัยต่างๆ ปัจจุบันมีการค านึงถึงการตั้งไซต์ส ารองในลักษณะของศูนย์ส ารองข้อมูลและ ด าเนินการกู้คืนระบบภายหลังภัยพิบัติหรือ Disaster Recovery Center (DRC) ๓. บริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล การบริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล ตั้งแต่นโยบาย แผน กลยุทธ์ การตรวจวัด การบริหาร และการควบคุมการปฏิบัติการ มาตรการจัดการความมั่นคงปลอดภัยของสารสนเทศ • นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) • โครงสร้างความมั่นคงปลอดภัยสารสนเทศ (organization of Information Security) • ความมั่นคงปลอดภัยส าหรับบุคลากร (Human Resource Security) • การบริหารจัดการทรัพย์สิน (Asset Management) • การควบคุมการเข้าถึง (Access Control) • การเข้ารหัสข้อมูล (Cryptography) • ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and environmental Security) • ความมั่นคงปลอดภัยส าหรับการด าเนินการ (Operations Security) • ความมั่นคงปลอดภัยส าหรับการสื่อสารข้อมูล (Communications security) • การจัดหา การพัฒนา และการบ ารุงรักษาระบบ (System acquisition, development and maintenance) • ความสัมพันธ์กับผู้ขาย ผู้ให้บริการภายนอก (Supplier relationships) • การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management) • ประเด็นด้านความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่อง ทางธุรกิจ (Information security aspects of business continuity management) • ความสอดคล้อง (Compliance) มาตรการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001:2013 ศูนย์ข้อมูลและสารสนเทศ ส านักงานคณะกรรมการอาหาร และยา ได้รับการรับรองมาตรฐาน ISO 27001: 2013 เป็นแห่ง แรกในประเทศไทย เมื่อวันที่ 24 กันยา