Page 73 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 73
ห้องสมุดกรมพัฒนาที่ดิน
รายการ ผลการตรวจสอบ ข้อเสนอแนะ/ความคิดเห็น
องค์ประกอบของเอกสารนโยบายฯ อิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษา
ส่วนที่ 9 และส่วนที่ 10 ไม่ปรากฏใน ความมั่นคงปลอดภัยของระบบสารสนเทศ
ประกาศของกรม A ตามวิธีการแบบปลอดภัย พ.ศ. 2555)
2. แนวปฏิบัติการรักษาความมั่นคง โดยข้อกำหนดควรครอบคลุมถึงประเด็น
ปลอดภัยด้านสารสนเทศมีเนื้อหา ต่าง ๆ ดังนี้
ไม่ครอบคลุมบางประเด็น ได้แก่ 2.1 กำหนดการควบคุมบริษัทที่จัดจ้าง
- - การจัดให้มีการควบคุมโครงการพัฒนา (outsource) ดูแลระบบเครือข่าย
และคอมพิวเตอร์ ในกรณีมีการจ้างเหมา
ซอฟต์แวร์ โดยหน่วยงานภายนอก/
ผู้ให้บริการภายนอก (ผู้รับจ้าง) ดำเนินงาน การดูแล พัฒนาและบำรุงรักษา
ระบบ
- - การระบุเงื่อนไขการปกปิดข้อมูล รวมถึงการควบคุมก่อนและหลัง
จากหน่วยงานภายนอก/ผู้ให้บริการ การจ้าง เช่น ข้อกำหนดการรักษาข้อมูล
ภายนอก (ผู้รับจ้าง) กรณีที่มีการจัดจ้าง ความลับของทางราชการ เป็นต้น
ให้เข้าดูแลระบบเครือข่าย/ดำเนินการ 2.2 การส่งคืนสินทรัพย์ กรณีเสื่อมสภาพ/
อื่นใด ซึ่งอาจมีผลต่อความมั่นคงปลอดภัย ล้าสมัย หรือกรณียืมสินทรัพย์ระหว่าง
ของระบบสารสนเทศ หน่วยงานควรมีข้อกำหนดในการดำเนินการ
ที่ชัดเจน เช่น
- กำหนดการล้างข้อมูล (Format
Data) และการล้างการตั้งค่าทั้งหมด
ออกจากอุปกรณ์ก่อน/ให้ทำลายข้อมูล
สำคัญในสินทรัพย์ก่อนที่จะกำจัดสินทรัพย์
ดังกล่าวหรือส่งคืนสินทรัพย์/ตัดจำหน่าย
ครุภัณฑ์ออกจากทะเบียนคุมของหน่วยงาน
- กำหนดวิธีการลบหรือเขียนข้อมูล
ทับบนข้อมูลที่มีความสำคัญในสินทรัพย์
สำหรับจัดเก็บข้อมูลก่อนที่จะอนุญาต
ให้ผู้อื่นนำสินทรัพย์นั้นไปใช้งานต่อ
เพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูลสำคัญ
นั้นได้ เป็นต้น
หมายเหตุ : คำนิยามสินทรัพย์/
ทรัพย์สิน ตามเอกสารนโยบายฯ เช่น
เครื่องคอมพิวเตอร์ แบบตั้งโต๊ะ
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 65