Page 190 - SE-AM Manual Book 2567 (Edit IA)
P. 190

คู຋มือการประ฼มินผลการดำ฼นินงานรัฐวิสาหกิจ (ฉบับปรับปรุง༛ป຃༛2567)

                                                ตามระบบประ฼มินผลรัฐวิสาหกิจ༛State Enterprise Assessment Model : SE-AM
                                                            สำนักงานคณะกรรมการน฾ยบายรัฐวิสาหกิจ༛(สคร.)༛กระทรวงการคลัง





                 การจัด฼กใบขຌอมูลบันทึก฼หตุการณຏ༛(logging)

                 ฼พืไอ฿หຌ༛รส.༛มีขຌอมูลบันทึก฼หตุการณຏทีไครบถຌวน฼พียงพอ฽ละปลอดภัย༛สามารถ฿ชຌติดตาม༛ตรวจสอบร຋องรอยการ฼ขຌาถึง
                 ฽ละการ฿ชຌงานระบบหรือขຌอมูลของผูຌ฿ชຌงาน༛รวมทัๅง฿ชຌ฼ปຓนหลักฐานการทำธุรกรรมทางอิ฼ลใกทรอนิกสຏตามทีไ
                 กฎหมายกำหนด༛

                 1.  มีการจัด฼กใบขຌอมูลบันทึก฼หตุการณຏของ฼ครืไอง฽ม຋ข຋าย༛ระบบงาน༛อุปกรณຏ฼ครือข຋ายสืไอสารทีไสำคัญดຌวยวิธีการ
                 ทีไปลอดภัย༛฾ดยมีรายละ฼อียดทีไครบถຌวน฼พียงพอทีไจะ฿ชຌ฼ปຓนหลักฐาน฿นการตรวจสอบทีไสามารถระบุตัวบุคคล
                 ผูຌกระทำเดຌ༛฽ละจัด฼กใบยຌอนหลัง฼ปຓนระยะ฼วลาอย຋างนຌอย༛90 วัน༛หรือตามกฎหมายทีไ฼กีไยวขຌองกำหนด

                    •  บันทึกร຋องรอยกิจกรรมการทำธุรกรรม༛(transaction log) ༛
                    •  บันทึกการ฼ขຌาถึง༛(access log)
                    •  บันทึกการดำ฼นินงาน༛(activity log) ทีไสำคัญ༛฾ดยอย຋างนຌอยตຌองครอบคลุม༛༛
                          1.  การ฼ปลีไยน฽ปลง฽กຌเข฾ครงสรຌางฐานขຌอมูล฽ละการ฼ปลีไยน฽ปลง฽กຌเขขຌอมูล༛(update/ insert/
                             delete)  ฿นตารางทีไสำคัญ༛
                          2.  การ฼ปลีไยน฽ปลงการตัๅงค຋าความปลอดภัยของระบบ༛

                          3.  การ฼ขຌาถึง༛object ทีไสำคัญของระบบ༛
                          4.  การ฼ปลีไยน฽ปลง฽กຌเขบัญชี฽ละสิทธิ่ของผูຌ฿ชຌงาน༛

                 2.   มีการ฿ชຌระบบ฿นการควบคุมค຋า฼วลาของ฼ครืไอง฽ม຋ข຋าย༛ระบบงาน༛อุปกรณຏ฼ครือข຋ายสืไอสาร฿หຌตรงกับ༛
                 ฼ครืไอง฽ม຋ข຋าย༛Network Time Protocol : NTP (clock synchronization) ฼พืไอ฿หຌค຋า฼วลา฿นการบันทึก༛
                 ฼หตุการณຏมีความถูกตຌอง฿นลักษณะ༛real-time ซึไง฼ครืไอง฽ม຋ข຋าย༛NTP ตຌองรับสัญญาณนาຝิกาจาก฽หล຋งทีไมี
                 ความน຋า฼ชืไอถือ༛


                 3.   ขຌอมูลการบันทึก฼หตุการณຏของอุปกรณຏสำคัญควรจัด฼กใบเวຌทีไ฼ครืไอง฽ม຋ข຋ายทีไ฽ยก฼ฉพาะ༛อย຋างนຌอยครอบคลุม༛
                 access log ฽ละ༛activity log ฾ดยมีการรักษาความปลอดภัยทีไรัดกุม฼พียงพอ฿นการปງองกันการ฼ปลีไยน฽ปลง༛
                 ฽กຌเข༛หรือทำลาย༛༛༛

                 4.   มีการสอบทานบันทึกการ฼ขຌาถึง༛(access Log) ฽ละบันทึกการดำ฼นินงาน༛(activity log) ของผูຌปฏิบัติงาน༛
                 ดຌาน฼ทค฾น฾ลยีสารสน฼ทศทีไมีสิทธิ่สูงอย຋างสมไำ฼สมอ༛฼ช຋น༛system administrator หรือ༛system operator
                 ฼ปຓนตຌน༛฼พืไอ฿หຌมัไน฿จเดຌว຋าผูຌปฏิบัติงาน฼ขຌาถึง฽ละปฏิบัติงานตามขอบ฼ขตหนຌาทีไทีไเดຌรับมอบหมาย

               ทีไมา༛:༛หลัก฼กณฑຏการกำกับดู฽ลความ฼สีไยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛(Information Technology Risk) ของสถาบันการ฼งิน༛฽ละ฽นวปฏิบัติ
               ฿นการบริหารความ฼สยงดຌาน฼ทค฾น฾ลยีสารสน฼ทศ༛ธนาคาร฽ห຋งประ฼ทศเทย
                             ีไ












                                                                                                          หนຌา༛5-51
   185   186   187   188   189   190   191   192   193   194   195