ISSS ข้อ 4 การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร
มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ได้แก่
4. การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร
| ระดับพื้นฐาน | ระดับกลาง | ระดับเคร่งครัด |
| ข้อ 4. การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร | ข้อ 4. การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร พนักงาน หน่วยงานหรือบุคคลภายนอกต้องได้รับการอบรมเพื่อสร้างความตระหนักรู้เกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศในส่วนที่ เกี่ยวข้องกับหน้าที่ความรับผิดขอบของตน และได้รับการสื่อสารให้ทราบถึงนโยบายหรือระเบียบปฏิบัติด้านความ มั่นคงปลอดภัยสารสนเทศที่หน่วยงานประกาศใช้อย่างสม่ำเสมอ หรือเมื่อมีการเปลี่ยนแปลง | ข้อ 4. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ |
| 4.1 กำหนดหน้าที่ความรับผิดขอบด้านความมั่นคงปลอดภัยด้านสารสนเทศของพนักงาน หรือหน่วยงาน หรือบุคคลภายนอกที่ว่าจ้าง โดยให้สอดคล้องกับความมั่นคงปลอดภัยด้านสารสนเทศและนโยบายในการรักษาความ มั่นคงปลอดภัยด้านสารสนเทศที่หน่วยงานประกาศใช้ | 4.1 มีการแบ่งแยกหน้าที่และขอบเขตความรับผิดซอบอย่างซัดเจน เพื่อลดโอกาสความผิดพลาดในการ เปลี่ยนแปลงหรือใช้งานระบบสารสนเทศหรือข้อมูลสารสนเทศที่ผิดประเภท | |
| 4.2 ผู้บริหารระดับสูงของหน่วยงานต้องกำหนดให้พนักงาน หน่วยงานหรือบุคคลภายนอกที่ว่าจ้าง ปฏิบัติงานตามนโยบายหรือระเบียบปฏิบัติด้านความมั่นคงปลอดภัยที่หน่วยงานประกาศใช้ | 4.2 มีการแยกระบบสารสนเทศสำหรับการพัฒนา ทดสอบ และใช้งานจริงออกจากกัน เพื่อลดความเลี่ยง ในการเข้าใช้งานหรือการเปลี่ยนแปลงระบบสารสนเทศโดยมิได้รับอนุญาต | |
| 4.3 กำหนดให้มีขั้นตอนการลงโทษพนักงานที่ฝ่า!!เนนโยบายหรือระเบียบปฏิบัติเกี่ยวกับความมั่นคง ปลอดภัยด้านสารสนเทศในหน่วยงาน | 4.3 มีการบริหารจัดการการเปลี่ยนแปลงใด ๆ เกี่ยวกับการจัดเตรียมการให้บริการ และการดูแลปรับปรุง นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ขั้นตอนปฏิบัติงาน หรือการควบคุมเกี่ยวกับความมั่นคง ปลอดภัยด้านสารสนเทศ โดยคำนึงถึงระดับความสำคัญของการดำเนินธุรกิจที่เกี่ยวข้องและการประเมินความเลี่ยง อย่างต่อเนื่อง | |
| 4.4 กำหนดหน้าที่ความรับผิดชอบในการยุติการจ้าง หรือการเปลี่ยนแปลงสถานะการจ้างให้ซัดเจน และ มอบหมายให้มีผู้รับผิดซอบอย่างซัดเจน | 4.4 หากหน่วยงานอนุญาตให้มีการใช้งาน Mobile code (เซ่น Script บางอย่าง ของเว็บแอพพลิเคชั่นที่มีการทำงานอัตโนมัติเมื่อเรียกดูเว็บ) ควรมีการตั้งค่าการทำงาน (Configuration) เพื่อให้มั่นใจได้ว่าการทำงานของ Mobile code นั้นเป็นไปตามความมั่นคงปลอดภัยด้านสารสนเทศและนโยบายในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศ และห้ามโดยอัตโนมัติมิให้ Mobile code สามารถทำงานได้ในระบบสารสนเทศ หากในนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ กำหนดห้ามมิให้ประเภทของ Mobile code ดังกล่าวทำงานได้ | |
| 4.5 พนักงาน หน่วยงานหรือบุคคลภายนอกที่ว่าจ้างต้องส่งคืนทรัพย์สินสารสนเทศของหน่วยงานเมื่อ สิ้นสุดสถานะการเบีนพนักงาน หรือสิ้นสุดสัญญาหรือข้อตกลงการปฏิบัติงานให้กับหน่วยงาน | 4.5 มีขั้นตอนการปฏิบัติงานสำหรับการบริหารจัดการอุปกรณ์ที่ใข้ในการบันทึกข้อมูลอิเล็กทรอนิกส์ที่ สามารถถอดหรือต่อพ่วงกับเครื่องคอมพิวเตอร์ได้ (Removable media) | |
| 4.6 ให้ยกเลิกสิทธิของพนักงาน หน่วยงานหรือบุคคลภายนอกในการเข้าใช้งานระบบสารสนเทศ เมื่อ สิ้นสุดสถานะการเปีนพนักงาน หรือสิ้นสุดสัญญาหรือข้อตกลงการปฏิบัติงาน และให้ปรับเปลี่ยนระดับสิทธิในการ เข้าใช้งานระบบสารสนเทศให้เหมาะสมเมื่อมีการเปลี่ยนแปลงหน้าที่ความรับผิดชอบใด ๆ เกิดขึ้น | 4.6 มีขั้นตอนการปฏิบัติงานในการทำลายอุปกรณ์ที่ใข้ในการบันทึกข้อมูลอิเล็กทรอนิกส์ที่สามารถถอด หรือต่อพ่วงกับเครื่องคอมพิวเตอร์ได้ (Removable media) อย่างมั่นคงปลอดภัย | |
| 4.7 มีการป้องกันมิให้ข้อมูลหรือเอกสารเกี่ยวกับระบบสารสนเทศ (System documentation) ถูกเข้าถึง โดยมิได้รับอนุญาต | ||
| 4.8 ในกรณีที่มีการเคลื่อนย้ายอุปกรณ์ที่จัดเก็บข้อมูลสารสนเทศให้มีการ{องกันอุปกรณ์ที่ใช้จัดเก็บข้อมูล ดังกล่าว เพื่อมิให้มีการเข้าถึงโดยมิได้รับอนุญาต หรือถูกนำไปไข้งานผิดประเภท หรืออุปกรณ์หรือข้อมูลสารสนเทศ ได้รับความเสียหาย | ||
| 4.9 ให้มีการ{องกันข้อมูลสารสนเทศที่มีการลื่อสารกันผ่านข้อมูลอิเล็กทรอนิกส์ (Electronic messaging) เซ่น จดหมายอิเล็กทรอนิกส์ (E - mail) EDI หรือ Instant messaging |
.
ที่มา
ข้อมูลและภาพ รวบรวมโดย www.iok2u.com
-------------------------------------------------
สนใจข้อมูลเพิ่มเติม
มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการปลอดภัย พ.ศ. 2555-------------------------------------------------