Page 7 - แนวนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

P. 7

สารบัญ

หนา
บทนำ
๑. หลักการและเหตุผล 1

๒. วัตถุประสงค 1
๓. องคประกอบของนโยบาย 1
๔. บทบังคับใช 2
๕. การเผยแพรและทบทวน 2

คำนิยาม 3
โครงสรางดานความมั่นคงปลอดภัยสารสนเทศขององคกร 9
หมวด ๑ นโยบายการเขาถึงและการควบคุมการใชงานสารสนเทศ 10
สวนที่ ๑ การเขาถึงและควบคุมการใชงานสารสนเทศ (Access Control) 10

1.1 การจัดทำบัญชีทรัพยสินหรือทะเบียนทรัพยสิน 10
1.2 กำหนดเกณฑในการอนุญาตใหเขาถึงการใชงานสารสนเทศ 10
1.3 การแบงประเภทของขอมูลและการจัดลำดับความสำคัญ 11
หรือลำดับชั้นความลับของขอมูล

สวนที่ ๒ ขอกำหนดในการใชงานระบบสารสนเทศตามภารกิจ 13
(Business requirements for access control)
2.1 การกำหนดสิทธิ์สำหรับผูใชงานโดยตำแหนง 13

2.2 การกำหนดสิทธิ์สำหรับผูใชสวนบุคคล (Personal Account) 13
2.3 การปรับปรุงใหสอดคลองกับขอกำหนดการใชงานตามภารกิจ 14
และขอกำหนดดานความมั่นคงปลอดภัย
2.4 การจัดจางผูใหบริการภายนอก บริษัทบำรุงรักษา หรืออื่นๆ 14
สวนที่ ๓ การบริหารจัดการการเขาถึงของผูใชงาน (User Access Management) 15

๓.๑ การสรางความรูความตระหนักดานความมั่นคงปลอดภัยสารสนเทศแกผูใชงาน 15
๓.๒ การลงทะเบียนผูใชงาน (User Registration) 15
๓.๓ การบริหารจัดการสิทธิ์ของผูใชงาน (User Management) 15

๓.๔ การบริหารจัดการรหัสผานสำหรับผูใชงาน (User Password Management) 16
๓.๕ การทบทวนสิทธิ์การเขาถึงของผูใชงาน (User Access Rights) 18
สวนที่ ๔ การกำหนดหนาที่ความรับผิดชอบของผูใชงาน (User Responsibilities) 19
๔.๑ การใชงานรหัสผาน (Password Use) 19

๔.๒ การปองกันอุปกรณในขณะที่ไมมีผูใชงาน 19
๔.๓ การบริหารจัดการสื่อที่ใชในการบันทึกขอมูล (Media Handling) 20
๔.๔ การบริหารจัดการเอกสาร 21
๔.๕ การทำลายขอมูลอิเล็กทรอนิกสและสื่อบันทึกขอมูล 21

๔.๖ มาตรการการทำลายแฟมบันทึกขอมูลหรือการทำลายขอมูลอิเล็กทรอนิกส 22

2 3 4 5 6 7 8 9 10 11 12