ห้องสมุดกรมพัฒนาที่ดิน






                          3.4.2 การตรวจสอบการควบคุมเฉพาะระบบงาน

                                โดยการตรวจสอบในเรื่อง การกำหนดสิทธิในการใช้งานมีความเหมาะสมกับหน้าที่
               ความรับผิดชอบหรือไม่ การแบ่งแยกหน้าที่ในระบบงานสารสนเทศ การนำเข้าข้อมูลและรายการ การรับ-ส่งข้อมูล

               ระหว่างระบบงาน การประมวลผลในระบบงาน การนำผลลัพธ์ไปใช้งานครบถ้วน ถูกต้องหรือไม่ มีการจัดเก็บ

               เหมาะสมหรือไม่

               4. กฎหมาย ระเบียบ แนวปฏิบัติ ที่เกี่ยวของกับการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ

                        4.1 ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษา
               ความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 ประกาศ ณ วันที่ 31 พ.ค. 2553

               ประกอบด้วยสาระสำคัญ ดังนี้
                            4.1.1 การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ

                            4.1.2 จัดให้มีระบบสารสนเทศและระบบสำรองของสารสนเทศที่อยู่ในสภาพพร้อมใช้งาน

               และจัดทำแผนเตรียมความพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กทรอนิกส์
               เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง

                            4.1.3 การตรวจสอบและการประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ
                            4.1.4 จัดให้มีข้อปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงาน

               ประกอบด้วย

                                  (1) จัดทำข้อปฏิบัติที่สอดคล้องกับนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
               ของหน่วยงาน

                                  (2) ประกาศนโยบายและข้อปฏิบัติดังกล่าว ให้ผู้เกี่ยวข้องทั้งหมดทราบเพื่อให้สามารถ

               เข้าถึง เข้าใจ และปฏิบัติตามนโยบายและข้อปฏิบัติได้
                                  (3) กำหนดผู้รับผิดชอบตามนโยบายและข้อปฏิบัติดังกล่าวให้ชัดเจน

                                  (4) ทบทวนปรับปรุงนโยบายและข้อปฏิบัติให้เป็นปัจจุบันอยู่เสมอ
                            4.1.5 ข้อปฏิบัติในด้านการรักษาความมั่นคงปลอดภัย ต้องมีเนื้อหาครอบคลุม ดังนี้

                                  (1) การเข้าถึงและควบคุมการใช้งานสารสนเทศ (Access Control)

                                  (2) การใช้งานตามภารกิจเพื่อควบคุมการเข้าถึงสารสนเทศ (Business Requirements
               for Access Control)

                                  (3) ให้มีการบริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management)
                                  (4) กำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities)

                                  (5) การควบคุมการเข้าถึงเครือข่าย (Network Access Control)

                                  (6) การควบคุมการเข้าถึงระบบปฏิบัติการ (Operating System Access Control)
                                  (7) การควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอพพลิเคชั่นและสารสนเทศ

               (Application and Information Access control)



               เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ       13