Page 40 - พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ ขนาด A4
P. 40
(๖) เหตุการณ์ด้านความมั่นคงปลอดภัย(information security event)
็
์
้
ี่
ี
ี่
หมายความว่า กรณทระบุการเกิดเหตการณ สภาพของบริการหรือเครือข่ายทแสดงให้เหนความเป็นไปไดทจะเกิด
ุ
ี่
่
ุ
ี่
้
์
ื
้
้
การฝาฝนนโยบายดานความมั่นคงปลอดภัยหรือมาตรการป้องกันทลมเหลว หรือเหตการณอันไม่อาจรู้ไดว่าอาจ
เกี่ยวข้องกับความมั่นคงปลอดภัย
์
้
ี่
์
(๗) สถานการณดานความมั่นคงปลอดภัยทไม่พึงประสงคหรือไม่อาจคาดคด
ิ
(information security incident) หมายความว่า สถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจ
ั
คาดคิด (unwanted or unexpected) ซึ่งอาจท าให้ระบบขององค์กรถูกบุกรุกหรือโจมตี และความมั่นคงปลอดภย
ถูกคุกคาม
ั
้
ข้อ ๒ หน่วยงานของรัฐต้องจัดให้มีนโยบายในการรักษาความมั่นคงปลอดภยดานสารสนเทศของ
่
หน่วยงานเป็นลายลักษณ์อักษร ซึ่งอย่างน้อยต้องประกอบด้วยเนื้อหา ดังตอไปนี้
(๑) การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ
้
(๒) จดให้มีระบบสารสนเทศและระบบสารองของสารสนเทศซึ่งอยู่ในสภาพพร้อมใชงานและ
ั
ี
ี่
์
ั
จดทาแผนเตรียมความพร้อมกรณฉุกเฉินในกรณทไม่สามารถดาเนินการดวยวิธีการทางอิเลกทรอนิกสเพื่อให้
ี
้
็
สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง
(๓) การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ าเสมอ
ั
้
ิ
้
ข้อ ๓ หน่วยงานของรัฐตองจดให้มีข้อปฏิบัตในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ
ของหน่วยงาน ซึ่งอย่างน้อยต้องประกอบด้วยกระบวนการ ดังต่อไปนี้
ี่
ิ
้
ั
้
(๑) หน่วยงานของรัฐตองจดทาข้อปฏิบัตทสอดคลองกับนโยบายการรักษาความมั่นคงปลอดภัย
ด้านสารสนเทศของหน่วยงาน
ั้
ิ
ั
(๒) หน่วยงานของรัฐตองประกาศนโยบายและข้อปฏิบัตดงกลาว ให้ผเกี่ยวข้องทงหมดทราบ
่
้
ู้
เพื่อให้สามารถเข้าถึง เข้าใจ และปฏิบัติตามนโยบายและข้อปฏิบัติได ้
(๓) หน่วยงานของรัฐต้องก าหนดผู้รับผิดชอบตามนโยบายและข้อปฏิบัติดังกล่าวให้ชัดเจน
(๔) หน่วยงานของรัฐต้องทบทวนปรับปรุงนโยบายและข้อปฏิบัติให้เป็นปัจจุบันอยู่เสมอ
ข้อ ๔ ข้อปฏิบัตในดานการรักษาความมั่นคงปลอดภัย ตองมีเนื้อหาอย่างน้อยครอบคลม
้
ุ
้
ิ
ตามข้อ ๕ - ๑๕
้
ข้อ ๕ ให้มีข้อก าหนดการเข้าถึงและควบคมการใชงานสารสนเทศ (access control) ซึ่งตองมี
ุ
้
เนื้อหาอย่างน้อย ดังนี้
(๑) หน่วยงานของรัฐตองมีการควบคมการเข้าถึงข้อมูลและอุปกรณในการประมวลผลข้อมูลโดย
้
ุ
์
ค านึงถึงการใช้งานและความมั่นคงปลอดภัย
(๒) ในการก าหนดกฎเกณฑ์เกี่ยวกับการอนุญาตให้เข้าถึง ต้องก าหนดตามนโยบายที่เกี่ยวข้องกับ
การอนุญาต การก าหนดสิทธิ หรือการมอบอ านาจของหน่วยงานของรัฐนั้น ๆ
ั
ั
ั้
ั
้
(๓) หน่วยงานของรัฐตองก าหนดเกี่ยวกับประเภทของข้อมูล ลาดบความสาคญ หรือลาดบชน
ความลับของข้อมูล รวมทั้งระดับชั้นการเข้าถึง เวลาที่ได้เข้าถึง และช่องทางการเข้าถึง
้
ุ
ข้อ ๖ ให้มีข้อก าหนดการใชงานตามภารกิจเพื่อควบคมการเข้าถึงสารสนเทศ
ั
ิ
่
ุ
ื
(business requirements for access control) โดยแบ่งการจดทาข้อปฏิบัตเป็น ๒ สวนคอ การควบคมการ
