Page 100 - พระราชบัญญัติ15.5x23
P. 100

๒.๑ การรักษาความลับของข้อมูล
                                    ผู้ให้บรการตองก าหนดขั้นตอน วิธีการในการรบส่ง ประมวลผล และ
                                         ิ
                                                                  ั
                                             ้
               การจัดเก็บข้อมูลอย่างเหมาะสม เพื่อรักษาความลับ ความถูกต้องสมบูรณ์ของข้อมูล
                                    แนวปฏิบัต  ิ
                                    (๑) ก าหนดชั้นความลับของข้อมูลตามระดับความส าคัญ รวมถึงก าหนด
               สิทธิผู้ที่สามารถเข้าถึงข้อมูลความลับดังกล่าว
                                    (๒) จัดให้มีวิธีการรบส่ง ประมวลผล และจัดเกบข้อมูลลับในลักษณะที่
                                                ั
                                                                 ็
                        ั
                                                                          ื
               มั่นคงปลอดภยตามระดบความส าคัญ เพื่อป้องกันการเข้าแก้ไขเปลี่ยนแปลงโดยผู้ที่ไม่มีสิทธิหรอไม่ได้รับ
                              ั
               อนุญาต
                                    (๓) ก าหนดวิธีปฏบัตในการจัดเก็บ ใช้งาน และท าลายข้อมูลแตละ
                                                                              ่
                                                ิ
                                                  ิ
               ประเภทชั้นความลับ
                                 ๒.๒ การควบคุมการเปลี่ยนแปลง การปรับปรุงแก้ไขระบบสารสนเทศหรือ
               อุปกรณ์ประมวลผลสารสนเทศ
                                         ิ
                                                              ่
                                                                          ั
                                                            ิ
                                             ้
                                                          ิ
                                    ผู้ให้บรการตองก าหนดขั้นตอนปฏบัตอยางเป็นระบบส าหรบควบคุม
               การเปลี่ยนแปลงหรอแก้ไขระบบสารสนเทศ เพื่อลดความเสี่ยงที่จะท าให้ระบบที่ให้บรการเกิดความ
                                                                       ิ
                            ื
               เสียหายหรือท างานผิดปกต  ิ
                                    แนวปฏิบัต  ิ
                                                         ั
                                                   ิ
                                    (๑) จัดให้มีขั้นตอนปฏบัตส าหรบการควบคุมการแก้ไขเปลี่ยนแปลง
                                                     ิ
                                                                      ุ
                                                                  ั
                                        ั
                                                                     ุ
               ข้อมูลในกระบวนการประมวลผล การรบส่งข้อมูล การจัดเก็บ การจัดหา การปรบปรงอปกรณ์ และการ
                                                                       ิ
               พัฒนาระบบสารสนเทศ เช่น มีขั้นตอนการประเมินผลกระทบที่เกี่ยวข้อง การอนมัตจากผู้มีอานาจ

                                                                     ุ
               ขั้นตอนการพัฒนาหรือปรับปรุงแก้ไข การทดสอบก่อนด าเนินการ รวมถึงการบันทึกการแก้ไขเปลี่ยนแปลง
               การแจ้งให้ผู้ที่ได้รับผลกระทบจากการเปลี่ยนแปลงนั้นได้รับทราบ และปรับปรุงเอกสารที่เกี่ยวข้อง
                                                      ั
                                        ้
                                                                               ิ
                                    (๒) ตองแยกระบบส าหรบการพัฒนา  และระบบที่ใช้งานจรง
               ออกจากกัน ซึ่งอาจเป็นการแยกอุปกรณ์เป็นคนละเครื่อง และใช้ผู้ควบคุมระบบแยกกัน
                                    (๓) การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น
                                                          ิ
                                                                         ั
                                        (๓.๑) จัดให้มีสัญญาดาเนนการเป็นลายลักษณ์อกษร ระบุ

               ขอบเขตการด าเนินงาน หน้าที่ความรับผิดชอบของคู่สัญญาแต่ละฝ่ายให้ชัดเจน
                                        (๓.๒) จัดให้มีการบรหารความเสี่ยงในการใช้บรการจากผู้
                                                      ิ
                                                                         ิ
               ให้บริการรายอื่น รวมทั้งการคัดเลือก การติดตาม ประเมิน และตรวจสอบการให้บริการอย่างเหมาะสม
                                                                  ั
                                        (๓.๓) จัดให้มีการรักษาความมั่นคงปลอดภยของข้อมูล ซึ่งรวมถึง
               การรักษาความลับและความเป็นส่วนตัวของข้อมูลผู้ใช้บริการ
                                        (๓.๔) ความรบผิดชอบตอผู้ใช้บรการในการให้บรการที่ตอเนอง
                                                                       ิ
                                                                              ื่
                                                 ั
                                                                            ่
                                                       ่
                                                             ิ
               มั่นคง ปลอดภัย และน่าเชื่อถือเสมือนกับการให้บริการโดยผู้ให้บริการเอง
                                                                            ้
                                        (๓.๕) การจัดท าแผนฉุกเฉินส าหรบการดาเนนการดานงาน
                                                               ั

                                                                       ิ
               เทคโนโลยีสารสนเทศของผู้ให้บริการรายอื่นหรือบุคคลอื่นให้สอดคล้องกับแผนฉุกเฉินของผู้ให้บริการ
                                    (๔) จัดท าคู่มือต่าง ๆ ที่เกี่ยวข้องกับระบบสารสนเทศที่ให้บริการ อบรม
               และเผยแพร่ให้พนักงานไว้ใช้งาน


                                                                          หน้า | 89
   95   96   97   98   99   100   101   102   103   104   105