Page 19 - แนวนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

P. 19

หมวด ๑ นโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศ

สวนที่ ๑
การควบคุมการเขาถึงและการควบคุมการใชงานสารสนเทศ (Access Control)

วัตถุประสงค

เพื่อกำหนดมาตรการควบคุม ปองกันมิใหบุคคลที่ไมมีอำนาจหนาที่เกี่ยวของในการปฏิบัติหนาที่
เขาถึง ลวงรู แกไข เปลี่ยนแปลงระบบเทคโนโลยีสารสนเทศและการสื่อสารที่สำคัญ ซึ่งจะทำใหเกิดความ
เสียหายตอขอมูลและระบบขอมูลขององคกร โดยมีการกำหนดกระบวนการควบคุมการเขาออกที่แตกตางกัน

ของกลุมบุคคลตางๆ ที่มีความจำเปนตองเขาถึงและใชงานสารสนเทศ

แนวปฏิบัติ
๑. การเขาถึงและควบคุมการใชงานสารสนเทศ (Access Control)
๑.๑ จัดทำบัญชีทรัพยสินหรือทะเบียนทรัพยสิน การจำแนกกลุมทรัพยากรของระบบหรือการ

ทำงาน โดยใหกำหนดกลุมผูใชงานและสิทธิ์ของกลุมผูใชงาน
๑.๒ กำหนดเกณฑในการอนุญาตใหเขาถึงการใชงานสารสนเทศ ที่เกี่ยวของกับการอนุญาตการ
กำหนดสิทธิ์ หรือการมอบอำนาจ ดังนี้

๑.๒.๑ ผูดูแลระบบ จะอนุญาตใหผูใชงานเขาถึงระบบสารสนเทศที่ตองการใชงานได
ตอเมื่อไดรับอนุญาตจาก ผูรับผิดชอบ/เจาของขอมูล/เจาของระบบ ตามความจำเปนตอการใชงานเทานั้น
๑.๒.๒ ผูดูแลระบบ ตองกำหนดสิทธิ์การเขาถึงขอมูลและระบบขอมูลใหเหมาะสมกับ
การเขาใชงานของผูใชงาน และหนาที่ความรับผิดชอบในการปฏิบัติงานของผูใชงานระบบสารสนเทศ รวมทั้ง
มีการทบทวนสิทธิ์การเขาถึงอยางสม่ำเสมอ ดังนี้

๑.๒.๒.๑ กำหนดสิทธิ์ของผูใชงานแตละกลุมที่เกี่ยวของ แบงเปน
• อานอยางเดียว

• สรางขอมูล
• ปอนขอมูล

• แกไข
• อนุมัติ

• ไมมีสิทธิ์
๑.๒.๒.๒ กำหนดเกณฑการระงับสิทธิ์ มอบอำนาจ ใหเปนไปตามการบริหาร
จัดการการเขาถึงของผูใชงาน (User Access Management) ที่ไดกำหนดไว

๑.๒.๒.๓ ผูใชงานที่ตองการเขาใชงานระบบสารสนเทศของหนวยงานจะตอง
ขออนุญาตเปนลายลักษณอักษรและไดรับการพิจารณาอนุญาตจากหัวหนาหนวยงานหรือผูดูแลระบบที่ไดรับ
มอบหมาย

๑.๒.๒.๔ บุคคลจากหนวยงานภายนอกที่ตองการสิทธิ์ในการเขาใชงานระบบ
สารสนเทศของหนวยงานจะตองขออนุญาตเปนลายลักษณอักษรตอผูอำนวยการศูนยเทคโนโลยีสารสนเทศ
และการสื่อสาร

นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยดานสารสนเทศ กรมพัฒนาที่ดิน
๑๐

14 15 16 17 18 19 20 21 22 23 24