Page 95 - พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ ขนาด A4
P. 95
๓.๒ การติดตามตรวจสอบความผิดปกติและความล่อแหลมของระบบสารสนเทศ
ิ
ผู้ให้บริการต้องก าหนดให้มีการตดตาม ตรวจสอบความผิดปกติ ตลอดจนข้อมูลข่าวสารท ี่
่
เกี่ยวกับช่องโหว่ในระบบตาง ๆ ที่ให้บริการ เพื่อประเมินความเสี่ยงและก าหนดมาตรการรองรับเพื่อลดความเสยง
ี่
ดังกล่าว
แนวปฏิบัต ิ
ิ
ี่
ุ
ั
ี่
ิ
(๑) ตดตามตรวจสอบรายการทไม่ปกต และโอกาสทจะเกิดภัยคกคาม หรือการลกลอบ
เข้าถึงระบบสารสนเทศ
(๒) ประเมินชองโหว่ของระบบ (Vulnerability Assessment) จดเตรียมแนวทางการ
ั
่
่
ี่
่
่
แก้ไข หรือปิดชองโหว่จากความลอแหลมของระบบ โดยเฉพาะในสวนของระบบเครือข่ายทเกี่ยวกับการให้บริการ
รวมถึงโปรแกรมระบบงานและฐานข้อมูล
ี่
(๓) กรณระบบมีความเสยงสง ควรจดให้มีการทดสอบเจาะระบบ
ั
ู
ี
(Penetration Test) เพื่อทดสอบประสิทธิภาพของเทคโนโลยีการรักษาความมั่นคงปลอดภัย
์
ั
้
ุ
๓.๓ การแก้ไขปัญหา บันทึกเหตการณ และการรายงาน กรณีระบบสารสนเทศไดรบความ
เสียหาย
ู้
ิ
ึ
้
ุ
์
ผให้บริการตองมีการตดตาม บันทก และรายงานเหตการณละเมิดความมั่นคงปลอดภัย
่
ี่
ี่
ั้
ุ
่
่
้
ี่
ผานชองทางการรายงานทก าหนดไว้ โดยดาเนินการอย่างรวดเร็วทสดเทาทจะทาได รวมทงให้มีการเรียนรู้จาก
เหตุการณ์ที่เกิดขึ้นแล้ว เพื่อเตรียมการป้องกันที่จ าเป็นไว้ล่วงหน้า
แนวปฏิบัต ิ
(๑) ก าหนดขั้นตอนการแก้ไขปัญหา ทีมงานหรือผู้รับผิดชอบ รวมถึงวิธีการรายงานปัญหา
ให้กับผู้บริหาร และแจ้งให้กับผู้เกี่ยวข้องทราบ
(๒) เก็บรวบรวมหลักฐานต่าง ๆ ที่เป็นประโยชน์
(๓) บันทึกเหตุการณ์ หรือจัดท ารายงานที่เป็นลายลกษณ์อักษรเพื่อเก็บไว้เป็นแนวทางใน
ั
การแก้ปัญหา
๓.๔ การส ารองข้อมูล
ี่
ั
ผให้บริการตองจดให้มีการสารองและทดสอบข้อมูลทสารองเก็บไว้อย่างสม่ าเสมอเพื่อ
ู้
้
รักษาความถูกต้องสมบูรณ์ และสภาพความพร้อมใช้งานของการให้บริการ
แนวปฏิบัต ิ
(๑) ส ารองข้อมูลที่ส าคัญ และข้อมูลอื่นที่จ าเป็นต่อการปฏิบัติงานส ารองให้พร้อมใช้งานได ้
ั
่
ี่
(๒) ก าหนดวิธีปฏิบัต หรือขั้นตอนในการสารองข้อมูลให้ชดเจน เชน ข้อมูลทจะสารอง
ิ
ความถี่ในการส ารองข้อมูล สื่อที่ใช้ สถานที่เก็บ วิธีการเก็บรักษา และการน ามาใช้งาน
(๓) ทดสอบข้อมูลทเก็บสารองไว้อย่างสม่ าเสมอ และให้เป็นไปตามนโยบายการสารอง
ี่
ข้อมูลของผู้ให้บริการ
