Page 29 - แนวนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
P. 29

บริเวณลอมรอบ การควบคุมการเขาออก การจัดบริเวณการเขาถึงกรณีมีการสงผลิตภัณฑโดยบุคคลภายนอก
               การจัดวางอุปกรณระบบและอุปกรณสนับสนุนการทำงานในสถานที่ที่มีความปลอดภัย

                            ๔.๒.๒  กำหนดใหผูรับผิดชอบอุปกรณคอมพิวเตอรสวนบุคคลกำหนดรหัสผานให Screen
               Saver ใหกำหนดระยะเวลาเมื่อไมไดใชงานหรือไมมีความเคลื่อนไหวบนหนาจอคอมพิวเตอรแลวเขาสูระบบ
               Screen Saver โดยใหตั้งคาระยะเวลา คือ ๕ นาที
                            ๔.๒.๓  กำหนดใหผูใชงานออกจากระบบสารสนเทศเมื่อวางเวนจากการใชงานทุกครั้ง

                            ๔.๒.๔  การควบคุมสินทรัพยสารสนเทศ ทางดานกายภาพ
                                   ๔.๒.๔.๑  สินทรัพยสารสนเทศที่มีความสำคัญมาก จัดเก็บรักษาไวในหองควบคุม
               ระบบที่มีระบบรักษาความปลอดภัย โดยในการเขาออกหองทุกครั้งจะตองสแกนลายนิ้วมือ โดยอนุญาตเฉพาะ

               ผูที่มีสิทธิ์ในการเขาถึง
                                   ๔.๒.๔.๒  มีการ lock กุญแจตูที่เก็บรักษาสินทรัพย และอนุญาตใหเฉพาะผูมีหนาที่
               เกี่ยวของเก็บรักษาลูกกุญแจไว โดยในการนำสินทรัพยสารสนเทศเขาหรือออกมาใชงานทุกครั้งจะกรอก
               ใบคำรอง และไดรับอนุญาตโดยผูมีอำนาจ จากนั้นจึงมีการเก็บบันทึกไวในแฟม
                            ๔.๒.๕  การควบคุมการเขาถึงสินทรัพยสารสนเทศ โดยการจำกัดสิทธิ์ User ที่สามารถ Login

               เขามาใชงานเฉพาะบุคคลที่มีความเกี่ยวของกับสินทรัพยสารสนเทศดังกลาว และเมื่อไมมีการเรียกใชงาน
               ในเวลาที่กำหนดระบบฯ จะทำการ Log Off User นั้นออกโดยอัตโนมัติ
                            ๔.๒.๖  การ Clear desk การจัดเก็บเอกสารสำคัญที่บันทึกไวใน กระดาษ สื่อบันทึกขอมูล

               แฟลชไดรฟ หรือฮารดดิสก เมื่อไมใชงานตองจัดเก็บไวในที่ปลอดภัย ไมทิ้งวางไวบนโตะทำงานโดยไมมีผูดูแล
                            ๔.๒.๗  กำหนดเวลา clear screen เมื่อไมมีการใชอุปกรณอยางสม่ำเสมอ
                            ๔.๒.๘  ผูใชงานตองทำความเขาใจในการปองกันอุปกรณในขณะที่ไมมีผูใชงานที่อุปกรณ และ
               สรางความตระหนักในการที่จะตองปฏิบัติตามแนวปฏิบัติอยางเครงครัด
                            ๔.๒.๙  การปองกันโปรแกรมไมประสงคดี โดยติดตั้งโปรแกรมในการตรวจจับ และปรับปรุง

               ใหทันสมัย
                            ๔.๒.๑๐ การปรับปรุงระบบปฏิบัติการใหทันสมัยสม่ำเสมอเพื่อปดชองโหว และการถูกโจมตี
               จากภัยคุกคาม

                            ๔.๒.๑๑ ผูใชงานตองระมัดระวังในการเปดไฟลที่ไมทราบแหลงที่มาที่ชัดเจน
                            ๔.๒.๑๒ ผูใชงานอาจนำการเขารหัสมาใชกับขอมูลที่เปนความลับ โดยใหปฏิบัติตามระเบียบ
               การรักษาความลับทางราชการ พ.ศ. ๒๕๔๔ โดยการรับ-สงขอมูลสำคัญ หรือขอมูลซึ่งเปนความลับใหมีการเขารหัส
               (Encryption) ที่เปนมาตรฐานสากล SSL หรือ VPN

                        ๔.๓ การบริหารจัดการสื่อที่ใชในการบันทึกขอมูล (Media Handling)
                            เพื่อปองกันการเปดเผย การเปลี่ยนแปลงแกไข การลบหรือการทำลายทรัพยสินสารสนเทศ
               โดยไมไดรับอนุญาต
                            ๔.๓.๑  การบริหารจัดการสื่อบันทึกขอมูลที่สามารถเคลื่อนยายได (Management of

               Removable Media) ผูดูแลระบบตองกำหนดขั้นตอนปฏิบัติสำหรับบริหารจัดการสื่อบันทึกขอมูลที่สามารถ
               เคลื่อนยายได








                                        นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยดานสารสนเทศ กรมพัฒนาที่ดิน
                                                                                                       ๒๐
   24   25   26   27   28   29   30   31   32   33   34