Page 43 - พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ ขนาด A4
P. 43
ุ
้
(๑) การจากัดการเข้าถึงสารสนเทศ (information access restriction) ตองจากัดหรือควบคม
่
ั
การเข้าถึงหรือเข้าใช้งานของผใช้งานและบุคลากรฝายสนับสนุนการเข้าใช้งานในการเข้าถึงสารสนเทศและฟังก์ชน
ู้
(functions) ต่าง ๆ ของโปรแกรมประยุกต์หรือแอพพลิเคชั่น ทั้งนี้ โดยให้สอดคล้องตามนโยบายควบคุมการเขาถึง
้
สารสนเทศที่ได้ก าหนดไว้
(๒) ระบบซึ่งไวต่อการรบกวน มีผลกระทบและมีความส าคัญสูงต่อองค์กร ต้องได้รับการแยกออก
จากระบบอื่น ๆ และมีการควบคุมสภาพแวดล้อมของตนเองโดยเฉพาะ ให้มีการควบคมอุปกรณคอมพิวเตอร์และ
์
ุ
สื่อสารเคลื่อนที่และการปฏิบัติงานจากภายนอกองค์กร (mobile computing and teleworking)
(๓) การควบคมอุปกรณคอมพิวเตอร์และสอสารเคลอนท ตองก าหนดข้อปฏิบัตและมาตรการท ี่
ิ
ี่
ุ
ื่
ื่
้
์
เหมาะสมเพื่อปกป้องสารสนเทศจากความเสี่ยงของการใช้อุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนท ี่
ิ
้
(๔) การปฏิบัตงานจากภายนอกสานักงาน (teleworking) ตองก าหนดข้อปฏิบัต แผนงานและ
ิ
ขั้นตอนปฏิบัติเพื่อปรับใช้ส าหรับการปฏิบัติงานขององค์กรจากภายนอกส านักงาน
ข้อ ๑๒ หน่วยงานของรัฐที่มีระบบสารสนเทศต้องจัดท าระบบส ารอง ตามแนวทางต่อไปนี้
ั
ี่
้
ั
(๑) ตองพิจารณาคดเลอกและจดทาระบบสารองทเหมาะสมให้อยู่ในสภาพพร้อมใชงานท ี่
ื
้
เหมาะสม
ั
ี
ี
ี่
(๒) ตองจดทาแผนเตรียมความพร้อมกรณฉุกเฉินในกรณทไม่สามารถดาเนินการดวยวิธีการทาง
้
้
อิเล็กทรอนิกส์ เพื่อให้สามารถใช้งานสารสนเทศไดตามปกติอย่างต่อเนื่อง โดยต้องปรับปรุงแผนเตรียมความพร้อม
้
กรณีฉุกเฉินดังกล่าวให้สามารถปรับใช้ได้อย่างเหมาะสมและสอดคล้องกับการใช้งานตามภารกิจ
ี่
ิ
(๓) ต้องมีการก าหนดหน้าทและความรับผดชอบของบุคลากรซึ่งดูแลรับผดชอบระบบสารสนเทศ
ิ
้
ั
ี
ระบบสารอง และการจดทาแผนเตรียมพร้อมกรณฉุกเฉินในกรณทไม่สามารถดาเนินการดวยวิธีการทาง
ี
ี่
อิเล็กทรอนิกส ์
(๔) ตองมีการทดสอบสภาพพร้อมใชงานของระบบสารสนเทศ ระบบสารองและระบบแผน
้
้
เตรียมพร้อมกรณีฉุกเฉินอย่างสม่ าเสมอ
ิ
่
่
ี่
(๕) สาหรับความถี่ของการปฏิบัตในแตละข้อ ควรมีการปฏิบัตทเพียงพอตอสภาพความเสยงท ี่
ี่
ิ
ยอมรับได้ของแต่ละหน่วยงาน
้
ี่
้
ั
ข้อ ๑๓ หน่วยงานของรัฐตองจดให้มีการตรวจสอบและประเมินความเสยงดานสารสนเทศโดย
ต้องมีเนื้อหาอย่างน้อย ดังนี้
(๑) หน่วยงานของรัฐตองจดให้มีการตรวจสอบและประเมินความเสยงดานสารสนเทศทอาจเกิด
ี่
ั
้
้
ี่
ขึ้นกับระบบสารสนเทศ (information security audit and assessment) อย่างน้อยปีละ ๑ ครั้ง
้
ี่
ู้
(๒) ในการตรวจสอบและประเมินความเสยงจะตองด าเนินการ โดยผตรวจสอบภายในหน่วยงาน
ของรัฐ (internal auditor) หรือโดยผตรวจสอบอิสระดานความมั่นคงปลอดภัยจากภายนอก
้
ู้
(external auditor) เพื่อให้หน่วยงานของรัฐได้ทราบถึงระดบความเสยงและระดับความมั่นคงปลอดภัยสารสนเทศ
ั
ี่
ของหน่วยงาน
ข้อ ๑๔ หน่วยงานของรัฐต้องก าหนดความรับผดชอบทชดเจน กรณีระบบคอมพิวเตอร์หรือข้อมูล
ิ
ั
ี่
ู้
ู้
์
สารสนเทศเกิดความเสยหาย หรืออันตรายใด ๆ แก่องคกรหรือผหนึ่งผใด อันเนื่องมาจากความบกพร่อง ละเลย
ี
่
หรือฝาฝนการปฏิบัตตามแนวนโยบายและแนวปฏิบัตในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ ทงนี้ ให้
ื
ิ
ิ
ั้
้
ี่
ุ
ู
ู้
ิ
ั
ผบริหารระดบสงสดของหน่วยงาน (Chief Executive Officer : CEO) เป็นผรับผดชอบตอความเสยง ความ
ู้
่
เสียหาย หรืออันตรายที่เกิดขึ้น
