ISSS ข้อ 6 การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ
มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ได้แก่
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ
| ระดับพื้นฐาน | ระดับกลาง | ระดับเคร่งครัด |
| ข้อ 6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ | ข้อ 6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ | ข้อ 6. การจัดหาหรือจัดให้มีการพัฒนา และการบำรุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ |
| 6.1 มีการจัดทำ ปรับปรุง และดูแลเอกสารขึ้นตอนการปฏิบัติงานที่อยู่ในสภาพพร้อมใช้งาน เพื่อให้ พนักงานสามารถนำไปปฏิบัติได้ | 6.1 มีการจัดการควบคุมการเปลี่ยนแปลงของระบบสารสนเทศ | 6.1 ให้มีการตรวจสอบ (Validate) การทำงานของแอพพลิเคชั่น เพื่อตรวจหาข้อผิดพลาดของข้อมูลที่อาจ เกิดจากการทำงานหรือการประมวลผลที่ผิดพลาด |
| 6.2 มีการดูแลให้บุคคลหรือหน่วยงานภายนอกที่ให้บริการแก่หน่วยงานตามที่ว่างจ้างปฏิบัติตามสัญญา หรือข้อตกลงให้บริการที่ระบุไว้ ซึ่งต้องครอบคลุมถึงงานด้านความมั่นคงปลอดภัย ลักษณะการให้บริการ และระดับ การให้บริการ | 6.2 มีการติดตามผลการไข้งานทรัพยากรสารสนเทศ และวางแผนด้านทรัพยากรสารสนเทศให้รองรับการ ปฏิบัติงานในอนาคตอย่างเหมาะสม | 6.2 ให้มีข้อกำหนดขั้นตํ่าสำหรับการรักษาความถูกต้องแท้จริง (Authenticity) และความถูกต้องครบถ้วน (Integrity) ของข้อมูลในแอพพลิเคชั่น รวมทั้งมีการระบุและปฏิบัติตามวิธีการ{องกันที่เหมาะสม |
| 6.3 มีการติดตามตรวจสอบรายงานหรือบันทึกการให้บริการของบุคคลหรือหน่วยงานภายนอกที่ให้บริการ แก่หน่วยงานตามที่ว่าจ้างอย่างสม่ำเสมอ | 6.3 มีขั้นตอนการปฏิบัติงานในการจัดการและจัดเก็บข้อมูลสารสนเทศเพื่อมิให้ข้อมูลรั่วไหลหรือถูก น่าไปไข้ผิดประเภท | 6.3 จัดให้มีนโยบายในการใช้งานเทคนิคที่เกี่ยวข้องกับการเข้ารหัสลับ |
| 6.4 จัดให้มีเกณฑ์การตรวจรับระบบสารสนเทศที่มีการปรับปรุง หรือที่มีเวอร์ชั่นใหม่ และควรมีการ ทดสอบระบบสารสนเทศทั้งในช่วงการพัฒนาระบบและก่อนการตรวจรับ | 6.4 มีการจัดเก็บ Log ที่เกี่ยวข้องกับข้อผิดพลาดใด ๆ ของระบบสารสนเทศ มีการวิเคราะห์ Log ดังกล่าว อย่างสม่ำเสมอ และมีการจัดการแกไขข้อผิดพลาดที่ตรวจพบอย่างเหมาะสม | 6.4 กำหนดให้มีขั้นตอนการปฏิบัติงานเพื่อควบคุมการติดตั้งซอฟต์แวร์บนระบบสารสนเทศที่ให้บริการ |
| 6.5 มีขั้นตอนควบคุมการตรวจสอบ บีองกัน และกู้คืนในกรณีมีการใช้งานโปรแกรมไม่พึงประสงค์ และให้มี การสร้างความตระหนักรูให้กับผู้ใช้งานระบบสารสนเทศหรือข้อมูลสารสนเทศเกี่ยวกับโปรแกรมไม่พึงประสงค์ | 6.5 ระบบเวลาของระบบสารสนเทศต่าง ๆ ที่ใช้ในหน่วยงานหรือในขอบเขตงานด้านความมั่นคงปลอดภัย (Security domain) ต้องมีความสอดคล้องกัน (Synchronization) โดยให้มีการตั้งค่าพร้อมกับเวลาจากแหล่งเวลา ที่เชื่อถือได้ | 6.5 ให้มีการควบคุมการเปลี่ยนแปลงต่าง ๆ ในการพัฒนาระบบสารสนเทศ โดยมีขั้นตอนการควบคุมที่เป็นทางการ |
| 6.6 มีการสำรองข้อมูลสารสนเทศ และทดสอบการน่ากลับมาใช้งาน โดยให้เป็นไปตามนโยบายการสำรอง ข้อมูลที่หน่วยงานประกาศใช้ | 6.7 ให้จำกัดการเปลี่ยนแปลงใด ๆ ต่อซอฟต์แวร์ที่ใช้งาน (Software package) โดยให้เปลี่ยนแปลง เฉพาะเท่าที่จำเป็น และควบคุมทุก ๆ การเปลี่ยนแปลงอย่างเข้มงวด | |
| 6.7 มีการบริหารจัดการการควบคุมเครือข่ายคอมพิวเตอร์ เพื่อป้องกันภัยคุกคาม และมีการรักษาความ มั่นคงปลอดภัยของระบบสารสนเทศและแอพพลิเคชั่นที่ทำงานบนเครือข่ายคอมพิวเตอร์ รวมทั้งข้อมูลสารสนเทศที่มีการแลกเปลี่ยนบนเครือข่ายดังกล่าว | 6.8 มีมาตรการป้องกันเพื่อลดโอกาสที่เกิดการรั่วไหลของข้อมูลสารสนเทศ | |
| 6.8 มีการกำหนดรูปแบบการรักษาความมั่นคงปลอดภัย ระดับการให้บริการ ข้อกำหนดการบริหารจัดการ ในข้อตกลงการให้บริการด้านเครือข่ายคอมพิวเตอร์ ไม่ว่าเป็นการให้บริการโดยหน่วยงานเอง หรือจ้างช่วงไปยังผู้ให้บริการภายนอก | ||
| 6.9 จัดให้มีนโยบายและขั้นตอนปฏิบัติงาน รวมทั้งควบคุมการแลกเปลี่ยนข้อมูลสารสนเทศผ่านซ่อง ทางการสื่อสารในรูปแบบข้อมูลอิเล็กทรอนิกส์ | ||
| 6.10 จัดให้มีข้อตกลงในการแลกเปลี่ยนข้อมูลสารสนเทศหรือซอฟต์แวร์ระหว่างหน่วยงานกับบุคคลหรือ หน่วยงานภายนอก | ||
| 6.11 จัดให้มีนโยบายและขั้นตอนการปฏิบัติงาน เพื่อป้องกันข้อมูลสารสนเทศที่มีการสื่อสารหรือ แลกเปลี่ยนผ่านระบบสารสนเทศที่มีการเชื่อมต่อกับระบบสารสนเทศต่าง ๆ | ||
| 6.12 มีการป้องกันข้อมูลสารสนเทศที่มีการแลกเปลี่ยนในการทำพาณิชย์อิเล็กทรอนิกส์ (Electronic commerce) ผ่านเครือข่ายคอมพิวเตอร์สาธารณะ เพื่อมิให้มีการฉ้อโกง ละเมิดสัญญา หรือมีการ รั่วไหลหรือข้อมูลสารสนเทศถูกแกไข่โดยมิได้รับอนุญาต | ||
| 6.13 มีการป้องกันข้อมูลสารสนเทศที่มีการสื่อสารหรือแลกเปลี่ยนในการทำธุรกรรมทางออนไลน์ (Online transaction) เพื่อมิให้มีการรับส่งข้อมูลที่ไม่สมบูรณ์ หรือล่งข้อมูลไปผิดที่ หรือมีการรั่วไหลของข้อมูล หรือข้อมูลถูกแกไขเปลี่ยนแปลง ถูกทำซํ้าใหม่ หรือถูกส่งซํ้าโดยมิได้รับอนุญาต | ||
| 6.14 สำหรับข้อมูลสารสนเทศที่มีการเผยแพร่ต่อสาธารณซน ให้มีการป้องกันมิให้มีการแกไขเปลี่ยนแปลง โดยมิได้รับอนุญาต และเพื่อรักษาความถูกต้องครบถ้วนของข้อมูลสารสนเทศ | ||
| 6.15 มีการเก็บบันทึกข้อมูล Audit log ซึ่งบันทึกข้อมูลกิจกรรมการใช้งานของผู้ใข้งานระบบสารสนเทศ และเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยต่าง ๆ เพื่อประโยซน่ในการสืบสวน สอบสวน ในอนาคต และเพื่อการ ติดตามการควบคุมการเข้าถึง | ||
| 6.16 มีขั้นตอนการเฝ้าติดตามสังเกตการใช้งานระบบสารสนเทศ และมีการติดตามประเมินผลการติดตาม สังเกตดังกล่าวอย่างสม่ำเสมอ | ||
| 6.17 มีการป้องกันระบบสารสนเทศที่จัดเก็บ Log และข้อมูล Log เพื่อป้องกันการเข้าถึงหรือแกไข เปลี่ยนแปลงโดยมิได้รับอนุญาต | ||
| 6.18 มีการจัดเก็บ Log ที่เกี่ยวข้องกับการดูแลระบบสารสนเทศโดยผู้ดูแลระบบ (System administrator หรือ System operator) |
.
ที่มา
ข้อมูลและภาพ รวบรวมโดย www.iok2u.com
-------------------------------------------------
สนใจข้อมูลเพิ่มเติม
มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการปลอดภัย พ.ศ. 2555-------------------------------------------------