Page 99 - พระราชบัญญัติ15.5x23
P. 99
แนวปฏิบัต ิ
(๑) จัดท าทะเบียนทรัพย์สิน หรืออุปกรณ์ระบบสารสนเทศให้ถูกต้องอย ู่
เสมอ รวมถึงจัดให้มีผู้รับผิดชอบดูแลทรัพย์สินเหล่านั้น
(๒) มีกฎ ระเบียบ ในการใช้ระบบสารสนเทศ และทรัพย์สินที่เกี่ยวข้อง
กับระบบสารสนเทศที่เหมาะสม
(๓) ต้องมีการควบคุม และป้องกันการเข้าถึงสถานที่ตั้ง การควบคุมการ
เข้าถึงอุปกรณ์ และระบบสารสนเทศที่เกี่ยวกับการให้บริการ โดยกระบวนการดังกล่าวครอบคลุมถึง
(๓.๑) การจัดวาง ตดตงอปกรณ์ที่เกี่ยวกับการให้บรการที่เป็น
ิ
ิ
ุ
ั้
ุ
สัดส่วน แบ่ง เขตควบคุมอปกรณ์ส าคัญ จัดให้มีการควบคุมการเข้าออกบรเวณพื้นที่ควบคุม ป้องกันการ
ิ
ลักลอบเข้าถึงโดยผู้ไม่มีสิทธิ ทั้งภายในและภายนอกองค์กร
(๓.๒) ก าหนดวิธีการและสิทธิการเข้าถึงระบบสารสนเทศที่
ิ
้
เกี่ยวกับการให้บรการ โดยแบ่งแยกตามระดบอานาจหนาที่ และจัดให้มีการตรวจสอบสิทธิในการเข้าถึง
ั
ระบบสารสนเทศดังกล่าว ทั้งจากผู้ใช้บริการ และบุคลากรที่เกี่ยวข้องก่อนอนุญาตให้เข้าใช้ระบบ โดยตอง
้
ทบทวนและปรับปรุงให้เป็นปัจจุบันอยู่เสมอ
(๓.๓) ก าหนดให้มีการบันทึกการเข้าใช้ระบบสารสนเทศของ
ผู้ใช้บรการและบุคลากรที่เกี่ยวข้อง เพื่อใช้ประโยชนในการตรวจสอบตดตามความผิดปกตตาง ๆ ที่อาจ
์
่
ิ
ิ
ิ
เกิดขึ้น
๑.๓ การตรวจสอบตัวตน และการป้องกันการปฏิเสธการรับผิด
ื
ผู้ให้บรการตองจัดให้มีการระบุ ตรวจสอบ หรอพิสูจนตวตนและ
ิ
้
์
ั
ตรวจสอบสิทธิของผู้ใช้ระบบโดยพิจารณาใช้เทคโนโลยที่เหมาะสมกับระดบความเสี่ยงของประเภทธุรกิจ
ั
ี
ให้บริการ เช่น การใช้รหัสผ่าน (Password) เลขประจ าตัว(Personal Identification Number)
อปกรณ์หรอบัตรที่เก็บข้อมูลส่วนบุคคล (Token or Smart Card) ลักษณะทางชีวมาตร
ื
ุ
ิ
(Biometric) เทคโนโลยกุญแจสาธารณะ (Public Key Infrastructure) เพื่อป้องกันการปฏเสธการรับผิด
ี
กรณีมีข้อพิพาทเกิดขึ้นแนวปฏิบัต ิ
ื
ื
์
ั
(๑) จัดให้มีวิธีการระบุ หรอตรวจสอบ หรอพิสูจนตวตนก่อนเข้าใช้
ระบบสารสนเทศของผู้ใช้บรการและบุคลากรที่เกยวข้องของผู้ให้บรการ เพื่อให้ทราบไดว่าการเข้าใช้งาน
้
ิ
ิ
ี่
ิ
ื
ั้
ั
นนมาจากผู้มีสิทธิในการเข้าถึงระบบสารสนเทศ รวมทั้งป้องกันไม่ให้มีการปฏเสธความรบผิด หรอข้อ
โต้แย้งในการท ารายการ
ี
(๒) มีการบันทึกรายละเอยดการเข้าถึงระบบสารสนเทศไว้เป็นหลักฐาน
ส าหรับการตรวจสอบกรณีเกิดปัญหา เพื่อป้องกันการปฏิเสธการรับผิด
๒. การรักษาความลับของข้อมูล และความถกต้องเชื่อถอได้ของระบบ
ู
ื
สารสนเทศ
ั
ิ
ผู้ให้บรการตองก าหนดมาตรการในการรกษาความลับของข้อมูล และการรกษา
้
ั
ิ
ั
้
ความถูกตองเชื่อถือไดของระบบสารสนเทศที่ให้บรการ เช่น การควบคุมการเปลี่ยนแปลงการปรบปรง ุ
้
ุ
ื
แก้ไขระบบ หรออปกรณ์ประมวลผลสารสนเทศ และการจัดการระบบเครอข่ายที่เกี่ยวกับการให้บรการ
ิ
ื
เพื่อให้ระบบสารสนเทศมีความถูกต้องอยู่เสมอ
หน้า | 88
