Page 56 - แนวนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

P. 56

หมวด ๓ นโยบายการตรวจสอบและประเมินความเสี่ยงดานสารสนเทศ

วัตถุประสงค
เพื่อใหมีการตรวจสอบและประเมินความเสี่ยงของระบบสารสนเทศของกรมพัฒนาที่ดิน หรือ
สถานการณดานความมั่นคงปลอดภัยที่ไมพึงประสงคหรือไมอาจคาดคิด และกำหนดแผนการรองรับเพื่อ
ลดระดับความเสี่ยงที่อาจจะเกิดขึ้น และสงผลกระทบตอระบบสารสนเทศของกรมพัฒนาที่ดินใหนอยที่สุด

แนวปฏิบัติ
๑. มีการตรวจสอบและประเมินความเสี่ยงดานสารสนเทศ โดยมีรายละเอียดอยางนอย ดังนี้

๑.๑ ตรวจสอบและประเมินความเสี่ยงดานสารสนเทศที่อาจเกิดขึ้นกับระบบสารสนเทศของ
กรมพัฒนาที่ดิน และความเสี่ยงดานภัยไซเบอรของกรมพัฒนาที่ดิน อยางนอยปละ ๑ ครั้ง
๑.๒ ตรวจสอบและประเมินความเสี่ยงที่ดำเนินการโดยผูที่มีหนาที่ในการตรวจสอบสารสนเทศ
ของกรมพัฒนาที่ดิน หรือโดยผูตรวจสอบอิสระดานความมั่งคงปลอดภัยจากภายนอกเพื่อใหหนวยงานไดทราบ
ถึงระดับความเสี่ยงและระดับความมั่งคงปลอดภัยของหนวยงาน

๒. มีแนวทางในตรวจสอบและประเมินความเสี่ยงที่ตองคำนึงถึงอยางนอยดังนี้
๒.๑ มีการทบทวนกระบวนการบริหารจัดการความเสี่ยง อยางนอยปละ ๑ ครั้ง
๒.๒ มีการตรวจสอบและประเมินความเสี่ยงและจัดทำรายงานพรอมขอเสนอแนะ

๒.๓ มีมาตรการในการตรวจประเมินระบบสารสนเทศ อยางนอยดังนี้
๒.๓.๑ กำหนดใหผูตรวจสอบสามารถเขาถึงขอมูลที่จำเปนตองตรวจสอบแบบอานได
อยางเดียว
๒.๓.๒ ในกรณีที่จำเปนตองเขาถึงขอมูลในแบบอื่นๆ ใหสรางสำเนาสำหรับขอมูลนั้น
เพื่อใหผูตรวจสอบใชงาน รวมทั้งการทำลายหรือลบขอมูลโดยทันทีที่ตรวจสอบเสร็จ หรือตองจัดเก็บไว โดยมี

การปองกันอยางเหมาะสม
๒.๓.๓ กำหนดใหมีการระบุและจัดสรรทรัพยากรที่จำเปนตองใชในการตรวจสอบระบบ
บริหารจัดการความมั่นคงปลอดภัย

๒.๓.๔ กำหนดใหมีการเฝาระวังการเขาถึงระบบโดยผูตรวจสอบ รวมทั้งบันทึกขอมูลล็อก
(Log) แสดงการเขาถึง วันและเวลาที่เขาถึงระบบ
๒.๓.๕ ในกรณีที่มีเครื่องมือสำหรับการตรวจประเมินระบบสารสนเทศ กำหนดใหแยก
การติดตั้งเครื่องมือที่ใชในการตรวจสอบออกจากระบบใหบริการจริงหรือระบบที่ใชในการพัฒนา และมี

การจัดเก็บปองกันเครื่องมือนั้นจากการเขาถึงโดยไมไดรับอนุญาต

นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยดานสารสนเทศ กรมพัฒนาที่ดิน
๔๗

51 52 53 54 55 56 57 58