Page 93 - พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ ขนาด A4
P. 93
๒.๑ การรักษาความลับของข้อมูล
ั
ผให้บริการตองก าหนดขั้นตอน วิธีการในการรับสง ประมวลผล และการจดเก็บข้อมูล
่
้
ู้
อย่างเหมาะสม เพื่อรักษาความลับ ความถูกต้องสมบูรณ์ของข้อมูล
แนวปฏิบัต ิ
ู้
ี่
ั
ั
(๑) ก าหนดชนความลบของข้อมูลตามระดบความสาคญ รวมถึงก าหนดสทธิผทสามารถ
ั
ิ
ั้
เข้าถึงข้อมูลความลับดังกล่าว
(๒) จัดให้มีวิธีการรับส่ง ประมวลผล และจัดเก็บข้อมูลลบในลกษณะทมั่นคงปลอดภัยตาม
ี่
ั
ั
ระดับความส าคัญ เพื่อป้องกันการเข้าแก้ไขเปลี่ยนแปลงโดยผู้ที่ไม่มีสิทธิหรือไม่ได้รับอนุญาต
(๓) ก าหนดวิธีปฏิบัติในการจัดเก็บ ใช้งาน และท าลายข้อมูลแต่ละประเภทชั้นความลับ
ั
ุ
ื
๒.๒ การควบคุมการเปลี่ยนแปลง การปรบปรงแกไขระบบสารสนเทศหรออุปกรณ์
้
ประมวลผลสารสนเทศ
ผู้ให้บริการต้องก าหนดขั้นตอนปฏิบัติอย่างเป็นระบบส าหรับควบคุมการเปลี่ยนแปลงหรือ
แก้ไขระบบสารสนเทศ เพื่อลดความเสี่ยงที่จะท าให้ระบบที่ให้บริการเกิดความเสียหายหรือท างานผิดปกต ิ
แนวปฏิบัต ิ
(๑) จัดให้มีขั้นตอนปฏิบัตสาหรับการควบคุมการแก้ไขเปลยนแปลงข้อมูลในกระบวนการ
ี่
ิ
์
่
ั
ประมวลผล การรับสงข้อมูล การจดเก็บ การจดหา การปรับปรุงอุปกรณ และการพัฒนาระบบสารสนเทศ เชน มี
ั
่
ู้
ิ
ี่
ขั้นตอนการประเมินผลกระทบทเกี่ยวข้อง การอนุมัตจากผมีอ านาจ ขั้นตอนการพัฒนาหรือปรับปรุงแก้ไข การ
ี่
ึ
้
ี่
ู้
ทดสอบก่อนดาเนินการ รวมถึงการบันทกการแก้ไขเปลยนแปลง การแจงให้ผทไดรับผลกระทบจากการ
้
เปลี่ยนแปลงนั้นได้รับทราบ และปรับปรุงเอกสารที่เกี่ยวข้อง
(๒) ต้องแยกระบบสาหรับการพัฒนา และระบบที่ใช้งานจริงออกจากกัน ซึ่งอาจเปนการ
็
แยกอุปกรณ์เป็นคนละเครื่อง และใช้ผู้ควบคุมระบบแยกกัน
(๓) การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น
ั
ั
ั
์
(๓.๑) จดให้มีสญญาดาเนินการเป็นลายลกษณอักษร ระบุขอบเขตการดาเนินงาน
หน้าที่ความรับผิดชอบของคู่สัญญาแต่ละฝ่ายให้ชัดเจน
ู้
ั้
้
ั
(๓.๒) จดให้มีการบริหารความเสยงในการใชบริการจากผให้บริการรายอื่น รวมทง
ี่
การคัดเลือก การติดตาม ประเมิน และตรวจสอบการให้บริการอย่างเหมาะสม
(๓.๓) จดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูล ซึ่งรวมถงการรักษาความลับ
ึ
ั
และความเป็นส่วนตัวของข้อมูลผู้ใช้บริการ
(๓.๔) ความรับผิดชอบต่อผู้ใช้บริการในการให้บริการที่ต่อเนื่อง มั่นคง ปลอดภัย และ
น่าเชื่อถือเสมือนกับการให้บริการโดยผู้ให้บริการเอง
(๓.๕) การจัดท าแผนฉุกเฉินสาหรับการด าเนินการด้านงานเทคโนโลยีสารสนเทศของ
ผู้ให้บริการรายอื่นหรือบุคคลอื่นให้สอดคล้องกับแผนฉุกเฉินของผู้ให้บริการ
ี่
(๔) จดทาคมือตาง ๆ ทเกี่ยวข้องกับระบบสารสนเทศทให้บริการ อบรม และเผยแพร่ให้
ู่
ี่
ั
่
พนักงานไว้ใช้งาน
